Gizli web tabanlı yönlendirmeler ve gizlenmiş kodlar yoluyla NetSupport RAT sağlayan, birden fazla saldırı aşaması kullanan yeni bir kötü amaçlı yazılım kampanyası keşfedildi.
Saldırı, ele geçirilen web sitelerine bir JavaScript yükleyicinin enjekte edilmesiyle başlayarak üç aşamada gerçekleşiyor.
Bu ilk aşama, mshta.exe’yi kullanarak şifrelenmiş PowerShell komutlarını çalıştıran gizli bir HTA dosyasını indirir. Son aşamada, saldırganlara kurban bilgisayarlar üzerinde tam kontrol sağlayan bir uzaktan erişim aracı indirilir ve kurulur.
Saldırı zinciri, güvenlik yazılımı tarafından tespit edilmekten kaçınmak için gelişmiş teknikler kullanır.
Securonix güvenlik araştırmacıları bu kampanyayı belirlediler ve kötü amaçlı kodları gizlemek için sayısal dizin eşleme ve dönen diziler de dahil olmak üzere çok sayıda gizleme katmanı kullandığını buldular.
Kampanya ayrıca mağdurun kullandığı cihaz türünü de kontrol ediyor ve mobil ve masaüstü kullanıcılara farklı yükler sunuyor. Araştırmacılar, kötü amaçlı yazılım çerçevesinin, virüslü sistemlerde gizli kalmak için aktif olarak korunduğunu ve optimize edildiğini belirtti.
JavaScript yükleyicisi kurbanın tarayıcısında çalıştığında, sessizce dönen şifreli metin dizileri oluşturuyor ve web sayfasının tamamen yüklenmesini bekliyor.
Daha sonra cihaz türünü kontrol eder ve mobil cihazlar için tam ekran, gizli bir iframe oluşturur veya masaüstü sistemler için uzak bir komut dosyası yükler.
Yükleyici ayrıca tarayıcının yerel depolama alanını kullanarak sisteme zaten virüs bulaştırıp bulaştırmadığını takip ediyor ve tespit edilme olasılığını azaltmak için tarayıcının yalnızca bir kez çalışmasını sağlıyor.
Bu dikkatli yaklaşım, saldırganların anında kötü amaçlı web adresleri oluşturmasına ve saldırının bir sonraki aşamasını Stoneandjon.com ve boriver.com gibi kontrol ettikleri alanlardan almalarına olanak tanır.
Saldırı Zinciri ve Enfeksiyon Mekanizması
İkinci aşama, saldırganların sıklıkla kötüye kullandığı meşru bir Windows programı olan mshta.exe üzerinden çalışan bir HTML Uygulama dosyası olarak gelir.
Bu HTA dosyası tamamen gizlenerek çalışır ve bilgisayarın geçici klasörüne şifrelenmiş bir PowerShell betiği yazar.
Betik, gerçek amacını maskelemek için AES-256-ECB şifrelemesini, Base64 kodlamasını ve GZIP sıkıştırmasını kullanıyor.
Şifreleme katmanları kaldırıldığında yük, dosyaları diske yazmadan doğrudan bilgisayarın belleğinde yürütülür.
Bu teknik, taranacak şüpheli dosya olmadığından antivirüs programlarının kötü amaçlı yazılımı algılamasını çok daha zorlaştırır.
Çalıştırıldıktan sonra komut dosyası, saldırının kanıtlarını gizlemek için geçici dosyalarını kaldırır.
Son PowerShell verisi, kindtki.com adresindeki saldırgan tarafından kontrol edilen bir sunucudan NetSupport RAT bileşenlerini içeren bir ZIP dosyasını indirir.
%20(Source%20-%20Securonix).webp)
Arşivi indirdikten sonra, komut dosyası onu ProgramData altında CommunicationLayer adlı bir klasöre çıkarır; bu konum, masum görünen ve meşru uygulamalarla harmanlanan bir konumdur.
Kötü amaçlı yazılım, yürütme zincirini gizlemek için gizli bir JScript sarmalayıcı kullanarak çıkarılan client32.exe dosyasını başlatır.
.webp)
Uzun süreli erişimi sürdürmek için Başlangıç klasöründe WindowsUpdate.lnk adlı bir kısayol dosyası oluşturur.
Bu kısayol, kurban bilgisayarında her oturum açtığında uzaktan erişim aracının otomatik olarak başlatılmasını sağlar ve saldırganlara kalıcı kontrol sağlar.
.webp)
NetSupport RAT, masaüstü kontrolü, dosya işlemleri, komut yürütme, veri hırsızlığı ve tünel oluşturma da dahil olmak üzere virüslü sisteme tam uzaktan erişim sağlar.
Kötü amaçlı yazılım, kullanıcı düzeyinde kurulum yaparak ve meşru Windows bileşenleriyle uyum sağlamak için yanıltıcı adlandırma kullanarak yönetici ayrıcalıkları gerektirmeyi önler.
Kuruluşlar, güvenilmeyen komut dosyalarını engelleyerek, PowerShell günlük kaydını etkinleştirerek, mshta.exe yürütmesini kısıtlayarak ve şüpheli süreç zincirlerini ve dosyasız yürütme tekniklerini tanımlayabilen davranışsal algılama araçlarını dağıtarak savunmalarını güçlendirmelidir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
