Xwormrat kötü amaçlı yazılım için, meşru dosyalarda kötü amaçlı kodları gizlemek için steganografi tekniklerini kullanan gelişmiş yeni dağıtım yöntemi.
Bu keşif, güvenlik algılama sistemlerini atlamak ve şüpheli olmayan kullanıcıları aldatmak için gelişmiş gizleme yöntemlerini giderek daha fazla kullanan siber suçluların gelişen taktiklerini vurgulamaktadır.
En son Xwormrat kampanyası, kötü amaçlı kodlu kodlar, görünüşte masum görüntü dosyaları içine kötü amaçlı kod yerleştirmek için steilografi kullanan kötü amaçlı yazılım dağıtım metodolojisinde önemli bir evrimi temsil ediyor.
ASEC’in e -posta Honeypot sistemi, bu yeni varyantın kimlik avı e -postaları aracılığıyla dağıtıldığını tespit etti, burada saldırganlar kötü amaçlı komut dosyalarını doğrudan meşru kod yapılarına yerleştirdi.
Kötü amaçlı yazılım, saldırı zincirini VBScript ve JavaScript aracılığıyla başlatarak algılamayı hem güvenlik sistemleri hem de son kullanıcılar için zorlaştırır.
Saldırı dizisi, kurbanlar, harici komut ve kontrol sunucularından ek kötü amaçlı yazılımlar indirmek için tasarlanmış gömülü bir PowerShell bileşeni içeren ilk komut dosyasını yürüttüğünde başlar.
Yürütme sırasında, komut dosyası, gerçek kötü amaçlı yükü kodlamadan ve yürütmeden önce bu kukla karakterleri sistematik olarak kaldırmak için değiştir () işlevini kullanır.
Xwormrat hackerlar kod enjeksiyonundan yararlanıyor
Mevcut Xwormrat varyantı, ASEC araştırmacıları tarafından belgelenen önceki yinelemelere kıyasla önemli teknik iyileştirmeler göstermektedir.
Bu PowerShell komut dosyası, gerçek amacını daha da gizlemek için kukla karakterlerle serpiştirilmiş baz 64 kodlu verileri içerir.
Daha önceki sürümler, kodlanmış verileri açıkça işaretlenmiş olarak yerleştirerek daha basit bir yaklaşıma dayanıyordu ”
Güvenlik araştırmacıları bu belirteçleri daha kolay tanımlayabilir, bu da tespit ve analizi daha basit hale getirebilir.
Yeni teknik, bu bariz belirteçleri Bitmap görüntü manipülasyonunu içeren daha sofistike bir yaklaşım lehine terk ediyor.
Kötü amaçlı yazılım artık JPG görüntü dosyalarına gömülü belirli Bitmap imzaları (0x42, 0x4d, 0x46, 0xc0) arıyor.
Bir kez bulunduktan sonra, kötü amaçlı yazılım, gizli .NET yükleyicisini yeniden yapılandırmak için Bitmap verilerinden RGB piksel değerlerini çözer ve kodlar.
Bu yöntem, kötü niyetli kodu meşru görüntü verilerinden neredeyse ayırt edilemez hale getirerek algılama çabalarını önemli ölçüde karmaşıklaştırır.
Kullanıcılar enfekte görüntü dosyasını açtıklarında, normal bir görüntü ekranı gibi görünen şeyleri gözlemleyerek şüpheli hiçbir şeyin gerçekleşmediği yanılsamasını oluştururlar.
Bununla birlikte, .NET yükleyici gizlice arka planda son Xwormrat yükünü çıkarır ve yürütür ve tehlikeye atılan sisteme kalıcı erişim sağlar.
Güvenlik etkileri
Bu kampanyada kullanılan steganografi teknikleri, Xwormrat dağıtımının ötesine uzanıyor, güvenlik profesyonellerinin ele alması gereken kötü amaçlı yazılım dağıtım yöntemlerinde daha geniş bir değişimi temsil ediyor.
ASEC araştırmacıları, bu sofistike saklanma tekniklerinin çeşitli kötü amaçlı yazılım aileleri için uyarlanabileceğini ve bu gelişmeyi özellikle siber güvenlik topluluğu ile ilgili hale getirdiğini vurgulamaktadır.
Bu steganografik yöntemlerin sürekli evrimi ve modifikasyonu, tehdit aktörlerinin tespit-evlenme yeteneklerinin geliştirilmesine önemli kaynaklar yatırdıklarını göstermektedir.
Bu eğilim, kuruluşların ve bireylerin daha sağlam e -posta güvenlik önlemleri uygulamaları ve bilinmeyen kaynaklardan gelen ekleri ele alırken daha fazla dikkat göstermeleri gerektiğini göstermektedir.
ASEC, bu gelişen tehditlerin düzenli “Kimlik Yardım E -posta Trend Raporu” ve “Infostealer Trend Raporu” yayınları aracılığıyla izlenmeye devam ederek güvenlik topluluğuna gelişmekte olan saldırı metodolojileri hakkında önemli bir zeka sağlıyor ve kuruluşların savunma stratejilerini buna göre uyarlamalarına yardımcı oluyor.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.