Çin merkezli bir tehdit oyuncusu ile bağlantılı yeni tanımlanmış bir siber tehdit ortaya çıktı ve Doğu ve Güneydoğu Asya’daki kullanıcıları meşru bir WhatsApp kurulum dosyası olarak gizlenmiş bir Trojanize MSI yükleyicisi ile hedef aldı.
Bu aldatıcı kampanya, sistemlere sızmak, hassas verileri çalmak ve saldırganlar için kalıcı erişimi korumak için tasarlanmış kötü amaçlı bir araç olan Xworm uzaktan erişim Truva (RAT) ‘nın özelleştirilmiş bir versiyonunu sunar.
Sofistike Saldırı Doğu ve Güneydoğu Asya’yı hedefler
Saldırı zinciri, görüntü dosyalarında gizlenmiş şifreli kabuk kodunu, kalıcılık için PowerShell komut dosyaları ve kabuk kodu yükleyicileri içeren karmaşık bir çok aşamalı işlem kullanır ve geleneksel güvenlik önlemlerinden kaçınmada yüksek düzeyde karmaşıklık sergiler.
.png
)
Xworm’un bu varyantını özellikle tehlikeli kılan şey, tehlikeye atılan cihazlarda telgraf kurulumlarını tespit etme ve telgraf tabanlı iletişim kanalları aracılığıyla saldırganlara rapor verme, verileri söndürmek ve daha fazla talimat almak için gizli bir mekanizma sağlama yeteneği de dahil olmak üzere gelişmiş işlevselliğidir.
Enfeksiyon, WhatsApp’ın resmi kurulum dosyasının görünümünü taklit eden ve şüphesiz kullanıcıları yürütmeye kandıran kötü niyetli bir MSI yükleyicisinin dağılımı ile başlar.
Saldırının teknik dökümü
Başlatıldıktan sonra, yükleyici, görünüşte zararsız görünen görüntü içine gömülü şifreli kabuk kodunu dağıtır.
Bunu takiben, PowerShell komut dosyaları, genellikle kötü amaçlı yazılımların yeniden başlatıldıktan sonra bile aktif kalmasını sağlayan planlanmış görevler oluşturarak, enfekte olmuş sistem üzerinde kalıcılık oluşturmak için kullanılır.
Nihai yük, kurbanın ortamını keşif etmek için ek yeteneklerle uyarlanmış ve özellikle potansiyel sömürü için telgraf kurulumlarını tanımlayan değiştirilmiş bir Xworm sıçandır.
Bu özelleştirme, muhtemelen kişisel veya iş iletişimi için güvenli mesajlaşma platformlarına güvenen kullanıcıları hedefleyen kampanyanın hedefli niteliğinin altını çiziyor.
Symantec, bu tehdidi ACM.PS-RD32! G1 ve ACM.UNTRST-RUNSYS! G1, Trojan.Gen.Mbt ve Scr.malcode! GDN14 gibi dosya tabanlı tespitler ve Heur.advml.a!
Ağ ve web tabanlı korumalar da mevcuttur, Symantec WebPulse özellikli ürünler aracılığıyla kötü itibar alanlarını ve uygulama etkinliğini işaretler.
Bu arada, VMware Carbon Black ürünleri, itibar hizmetleri yoluyla tehdit tanımlamasını en üst düzeye çıkarmak için bulut taramalarının gecikmeli yürütülmesinin yanı sıra bilinen, şüpheli ve potansiyel olarak istenmeyen programları (PUP’ların) yürütmelerini engelleyerek kapsamlı bir kapsam sağlar.
Bu katmanlı savunmalar, bu tür ileri tehditlerin ortaya koyduğu riskleri azaltmada kritik öneme sahiptir.
Hedeflenen bölgelerdeki kuruluşların ve bireylerin uyanık kalmaları, doğrulanmamış kaynaklardan yazılım indirmekten kaçınmaları ve güvenlik çözümlerinin bu sinsi kampanyaya karşı koymak için en son tehdit istihbaratıyla güncellenmesini sağlamak istemektedir.
Silahlı yükleyiciden kalıcılık mekanizmalarına ve telgraf entegrasyonuna kadar bu saldırının teknik inceliklerini anlayarak kullanıcılar, dijital ortamlarını Xworm Rat gibi gelişen tehditlere karşı korumadaki sağlam siber güvenlik uygulamalarının önemini daha iyi takdir edebilirler.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin