Kötü şöhretli VIP Keylogger’ı meşru ödeme makbuzları olarak maskelenen özenle hazırlanmış e-posta ekleri aracılığıyla konuşlandıran gelişmiş yeni bir mızrak aktı kampanyası ortaya çıktı.
Bu en son yineleme, kötü amaçlı yazılımların dağıtım mekanizmasında önemli bir evrimi temsil eder ve tehdit aktörlerinin uyarlanabilirliğini ve modern güvenlik önlemlerini atlamada teknik karmaşıklığı sergilemektedir.
Daha önce gelişmiş veri hırsızlığı yetenekleri ile belgelenen VIP Keylogger, gelişmiş steganografik teknikler ve gelişmiş kaçaklama taktikleri ile yeniden ortaya çıkmıştır.
Bu kötü amaçlı yazılım suşu, özellikle Chrome, Microsoft Edge ve Mozilla Firefox gibi web tarayıcılarını hedefler, kullanıcı kimlik bilgilerini sistematik olarak hasat eder, pano etkinliğini izler ve tuş vuruşlarını hassas bilgileri yakalamak için tuş vuruşlarını hedefler.
Mevcut kampanya, tespit ve analiz çabalarını önemli ölçüde karmaşıklaştıran otomatik tabanlı bir enjektör sistemi ekleyerek önceki sürümlerden belirgin bir ayrılma göstermektedir.
Seqrite araştırmacıları, şüpheli e -posta trafik modellerini izleyerek ve zararsız belge dosyaları gibi görünen kötü niyetli ekleri analiz ederek bu kampanyayı belirlediler.
Tehdit aktörleri, kurbanları kötü amaçlı yükü yürütmeye teşvik etmek için ikna edici finansal belge temalarını kullanarak sosyal mühendislik yaklaşımlarını geliştirdiler.
Bu son varyant, çok aşamalı dağıtım sürecinde ve hafıza sakinleri yürütme tekniklerinde artan sofistike olduğunu göstermektedir.
.webp)
Saldırı, kurbanların “ödeme makyajı_usd 86,780.00.pdf.pdf.z” adlı bir zip arşivi içeren mızrak-aktarma e-postaları aldıklarında başlatılıyor.
Görünüşte meşru görünen finansal belge aslında “Ödeme Makbalı_USD 86,780.00 PDF.EXE” olarak gizlenmiş kötü amaçlı yürütülebilir bir dosyayı gizler.
Çift uzatma tekniği, kullanıcıları yürütülebilir bir dosya yerine standart bir PDF belgesi açtıklarına inanmaya etkili bir şekilde aldatır.
Gelişmiş enfeksiyon mekanizması ve yük dağıtım
Yürütme üzerine, kötü amaçlı yazılım çok katmanlı enfeksiyon süreci ile dikkate değer teknik karmaşıklık gösterir.
İlk yürütülebilir dosyaya gömülü otomatik komut dosyası derhal sistemin geçici dizine “LEUCORYX” ve “Aveness” adlı iki şifreli dosyayı düşürür.
Bu dosyalar enfeksiyon zincirinde farklı amaçlara hizmet eder, LEUCORYX şifre çözme tuşları içerirken, Avess şifreli yük verilerini barındırır.
Kötü amaçlı yazılım, yükün doğrudan bellekte şifresini çözerek disk tabanlı algılama mekanizmalarından kaçınmak için “khixtkvlo” olarak tanımlanan özel bir XOR şifreleme işlevi kullanır.
Bu teknik, LEUCORYX’ten şifrelenmiş içeriği okumayı, XOR şifre çözme algoritmasının uygulanmasını ve sonuçta elde edilen verilerin tahsis edilen bellek yapılarında saklanmasını içerir.
Daha sonra şifre çözülmüş yük, Processvcs.exe’ye Processvcs.exe’ye enjekte edilir ve VIP Keylogger’ın meşru bir Windows sürecinde yürütülmesine ve davranışsal algılama sistemlerinden kaçmasına izin verir.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin