Not Defteri çoğu işletim sisteminde yaygın olarak kullanılan bir uygulama olduğundan, kötü amaçlı yazılımlar Windows ve Linux gibi sistemlere saldırmak için Not Defteri hizmetini kullanabilir.
Kötü amaçlı yazılım aracılığıyla, bu aracın sistem kaynaklarından ve kullanıcı ayrıcalıklarından yararlanarak yetkisiz erişime veya kötü amaçlı kodların yürütülmesine izin vermek için kullanılması mümkündür.
Ayrıca, Notepad gibi iyi bilinen yazılımlar tarafından taşınan, tespit edilemeyen kötü amaçlı yazılım yüklerinin meşruluğu konusunda müşterilerin şüphesi de azalıyor.
ASEC'teki siber güvenlik analistleri yakın zamanda tehdit aktörlerinin Windows ve Linux sistemlerinden yararlanmak için not defteri hizmetinden yararlanan yeni WogRAT kötü amaçlı yazılımını aktif olarak kullandığını keşfetti.
Kötü amaçlı yazılım analizi hızlı ve basit olabilir. Size şu yolu göstermemize izin verin:
- Kötü amaçlı yazılımlarla güvenli bir şekilde etkileşime geçin
- Linux'ta ve tüm Windows işletim sistemi sürümlerinde sanal makine kurulumu
- Bir takımda çalışın
- Maksimum veriyle ayrıntılı raporlar alın
Tüm bu özellikleri şimdi sandbox'a tamamen ücretsiz erişimle test etmek istiyorsanız: ..
ANY.RUN'da kötü amaçlı yazılımları ücretsiz analiz edin
WogRAT Kötü Amaçlı Yazılım Not Defteri Hizmetini İstismar Ediyor
AhnLab'ın ekibi, çevrimiçi bir not defteri hizmeti olan Not Defteri aracılığıyla yayılan bir arka kapı truva atını ortaya çıkardı.
Kötü amaçlı kod, Windows (PE formatı) ve Linux (ELF formatı) sistemlerini hedef alıyor.
Bu kötü amaçlı yazılım, yaratıcıları tarafından kullanılan 'WingOfGod' dizesi nedeniyle 'WogRAT' olarak adlandırılıyor ve çoklu platform tehdidi olduğundan ciddi bir risk oluşturuyor.
.webp)
WogRAT 2022'nin sonlarından beri aktif ve çok platformlu bir tehdit.
Windows'ta, kurbanları cezbetmek için “flashsetup_LL3gjJ7.exe” veya “BrowserFixup.exe” gibi yardımcı programlar gibi görünüyor.
Linux saldırıları doğrulanmamış olsa da, VirusTotal verileri Hong Kong, Singapur, Çin ve Japonya gibi Asya ülkelerinin bu kurnaz kötü amaçlı yazılım kampanyasının ana hedefleri olduğunu gösteriyor.
Adobe aracı gibi görünen bir Windows WogRAT örneğini incelerken, şifrelenmiş bir indiriciyi gizleyen .NET tabanlı bir Chrome yardımcı programı buluyoruz.
.webp)
Yürütme üzerine, bir Not Defteri'nden dizeleri almak ve Base64 kodunu çözmek için bir DLL'yi kendi kendine derler ve yükler; bu, çevrimiçi not defteri hizmetinde önbelleğe alınmış karmaşık bir .NET ikili yükünü ortaya çıkarır.
C&C'den indirilen komutlar tür, görev kimliği ve ilgili veriler gibi talimatları içerir. Örneğin, bir 'upldr' görevi 'C:\malware.exe'yi okur ve FTP bunu sunucuya yükler.
Analiz edilen örnek, yükleme özelliği olmayan bir test URL'si kullanırken, diğer WogRAT değişkenleri muhtemelen bu dosya sızdırma işlevinden yararlanıyor.
AhnLab, WogRAT'ın başlangıç vektörü belirsiz olmasına rağmen Windows eşdeğeriyle aynı C&C altyapısına sahip bir Linux varyantını ortaya çıkardı.
Tıpkı Rekoobe gibi bu tür de açık kaynaklı Tiny SHell kötü amaçlı yazılımının etkinliklerini kullanıyor.
Çalıştırıldığında “” adı altında kendini gizler.[kblockd]”, dışarı sızmak için sistem meta verilerini toplar ve tam olarak Windows sürümünün yaptığı gibi davranır.
Linux yükleri indirme işlevinden yoksundur ancak iletimden önce C&C iletişimlerini şifreler.
Linux WogRAT, komutları doğrudan almak yerine C&C'den ters kabuk adresi alır ve talimatları almak için bağlanır.
WogRAT, HMAC SHA1 aracılığıyla AES-128 şifreleme ve değiştirilmemiş 0x10 bayt bütünlük kontrolleri de dahil olmak üzere bu açık kaynaklı kötü amaçlı yazılımın rutinlerini ve C&C mekanizmalarını içerdiğinden, bu durum tehdit aktörünün Tiny SHell sunucu altyapısına sahip olduğunu gösteriyor.
AhnLab, Windows ve Linux'u hedef alan WogRAT kötü amaçlı yazılımını keşfetti. Tehdit aktörleri, indirmeleri teşvik ederek kötü amaçlı dosyaları yardımcı program olarak gizleyebilir.
Araştırmacılar, güvenilmeyen yürütülebilir dosyalardan kaçınmayı ve programları resmi kaynaklardan almayı önerdi.
Sadece bu değil, aynı zamanda enfeksiyonları önlemek için V3'ün güncellenmesini de önerdiler.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan