İş arayanlar, son siber güvenlik tehdidinde sofistike bir fidye yazılımı kampanyasının hedefi haline geldi ve bu kampanya “Xelera” olarak adlandırıldı.
Bu kampanya, kurbanları kötü niyetli kelime belgeleri açmaya teşvik etmek için Hindistan Food Corporation’dan (FCI) sahte iş teklifleri kullanıyor.
.webp)
Bu belgeler, açıldıktan sonra, nihayetinde fidye yazılımlarının ve diğer kötü amaçlı faaliyetlerin konuşlandırılmasına yol açan karmaşık bir enfeksiyon zinciri başlatır.
Seqrite’deki güvenlik analistleri, burada ilk enfeksiyon zincirinin Spear Kimlik avı e -postasıyla başladığını ve bu e -postaların yüksek hedefli ve kişiselleştirilmiş hileli e -postalar olduğunu tespit etti.
İlk enfeksiyon: kötü niyetli kelime belgeleri
İlk enfeksiyon vektörü, “fcei-job-notification.doc” adlı kötü niyetli bir kelime belgesi içeren bir mızrak kimlik avı e-postasıdır.
Bu belge, FCI’daki çeşitli roller için boş pozisyonları ve uygunluk kriterlerini detaylandıran meşru bir iş bildirimi gibi görünmektedir. Bununla birlikte, belgeye gömülü, sıkıştırılmış bir pyinstaller yürütülebilir dosyası içeren bir OLE (nesne bağlama ve gömme) nesnesidir.
.webp)
Ekstraksiyon üzerine, OLE nesnesi, “JobNotification2025.exe” adlı sıkıştırılmış bir pyinstaller yürütülebilir dosyası olan bir PE64 ikili ortaya çıkarır. Bu yürütülebilir ürün, geleneksel antivirüs yazılımı tarafından tespitten kaçınmak için tasarlanmış kötü amaçlı yazılımın ilk aşamasıdır.
İkinci aşamada Pyinstxtractor gibi araçları kullanırken, araştırmacılar yürütülebilir dosyanın içeriğini çıkardılar ve Python derlenmiş dosyaların karmaşık bir yapısını ortaya çıkardılar. Anahtar bileşenler şunları içerir:
- mainscript.pyc: Kötü amaçlı yazılımın ana mantığı.
- Destekleyici Kütüphaneler: Örneğin
psutil–aiohttpVeasynciosistem izleme ve ağ işlemlerini kolaylaştıran.
Ayrıştırma main.pyc Dosya, kütüphanelerin kapsamlı kullanımını ortaya çıkarır notoken887 Ve commandsadece fidye yazılımı dağıtımının ötesinde daha geniş bir kapsamı gösteriyor. Kötü amaçlı yazılım, kurbanın makinesinde uzaktan komutları yürütmek için bir komut ve kontrol (C2) sunucusu olarak bir anlaşmazlık botu kullanır.
.webp)
Kod snippet, “Discord Bot komutları”:-
# Example of Discord Bot Commands
commands = {
"admin": "Run as admin",
"nomouse": "Deny mouse and keyboard input",
"checkfile": "Check for specific file",
"bsod": "Trigger Blue Screen of Death"
}Discord Bot, aşağıdakiler dahil olmak üzere çok çeşitli kötü amaçlı etkinlikler gerçekleştirebilir:-
- Ayrıcalık artışı: Kötü amaçlı yazılımların yönetici ayrıcalıklarıyla çalışmasını sağlar.
- Sistem kontrolü: Sistemi kilitler veya kapatır.
- Kimlik Bilgisi Hırsızlığı: Tarayıcı kimlik bilgilerini ve dosyalarını çalar.
- Görsel bozulma: Duvar kağıtlarını değiştirir ve görsel efektlere neden olur.
Xelera fidye yazılımı son aşamada dağıtılır ve Litecoin’de bir fidye talep eder. Fidye yazılımı, belirli bir yürütülebilir uygulanabilir çalışmadıkça Windows Gezgini’ni sonlandırmak için işlevler içerir ve memz.exe adlı bir MBR yolsuzluk aracı indirir.
Kod Snippet, “Fidye Yazılımı İşlevleri”:-
# Example of Ransomware Functions
def kill_explorer():
# Terminate explorer.exe unless memz.exe is running
pass
def create_memz_in_startup():
# Download MEMZ.exe for MBR corruption
passBu tam senaryo, siber güvenlik farkındalığının önemini ve bu tür saldırılara karşı sağlam koruma ihtiyacını göstermektedir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free