Ahnlab Güvenlik İstihbarat Merkezi (ASEC) kısa bir süre önce kimlik avı e -postaları aracılığıyla modiloader (DBatloader olarak da bilinir) kötü amaçlı bir kötü amaçlı kampanya ortaya çıkardı.
Türkçe’de hazırlanan ve bir Türk bankasında taklit edilen bu e -postalar, alıcıları işlem geçmişlerini kontrol etme kisvesi altında kötü niyetli bir ek açmaya teşvik ediyor.
Sıkıştırılmış RAR dosyasının içinde, çok aşamalı bir enfeksiyon sürecini başlatan ve sonuçta .NET’te geliştirilen güçlü bir Infostealer kötü amaçlı yazılım olan Snakeylogger’ı dağıtan bir yarasa komut dosyası bulunur. Snakekeylogger, e -posta, FTP, SMTP veya telgraf gibi yöntemler yoluyla sistem bilgileri, klavye girişleri ve pano içeriği gibi hassas verileri yaymak için kötü şöhretlidir.
.png
)
Bu kampanya, kimlik avı saldırılarının artan karmaşıklığını ve artan siber güvenlik farkındalığına duyulan acil ihtiyaçları örneklendiriyor.
Kimlik avı e -postaları tehlikeli kötü amaçlı yazılım dağıtır
Enfeksiyon, Windows temp dizininde baz64 kodlu bir DBatloader ikili (x.exe) oluşturan ve yürüten yarasa komut dosyası ile başlar.
DBatloader daha sonra svchost.pif ve netutils.dll gibi kötü amaçlı dosyaların yanında bir dizi gizlenmiş ve şifre çözülmüş yarasa komut dosyasını (5696.cmd, 8641.cmd ve neo.cmd) düzenler.
Özellikle, kötü amaçlı yazılım, kötü amaçlı bir programı svchost.pif olarak gizleyerek, meşru easinvoker.exe sürecini taklit ederek ve zararlı davranışlar yürütmek için bir haydut netutils.dll yükleyerek DLL yan yüklemesini kullanır.
Ek kaçınma taktikleri, gizlenmiş adlar (alpha.pif ve xkn.pif) altında cmd.exe ve powerShell.exe gibi meşru sistem araçlarının kopyalanmasını ve güvenlik taramalarını atlamak için Windows Defender dışlama yollarının manipüle edilmesini içerir.
Kimlik Bilgisi Hırsızlık Mekanizmaları
Kaçma yapıldıktan sonra, DBatloader Snakekeylogger’a mercurymail programının bir modülü olan wxiygome.pif olarak gizlenmiş meşru bir sürece enjekte eder.
Snakekeylogger daha sonra kullanıcı kimlik bilgilerini toplar ve çalınan verileri, kötü amaçlı yazılımlara gömülü özel yapılandırma jetonunun ortaya çıktığı gibi, bir tehdit aktör kontrollü telgraf botuna iletir.
Bu karmaşık sömürü zinciri, meşru süreçlerden ve gelişmiş gizlemeden yararlanmak, tespiti standart antivirüs çözümleri için inanılmaz derecede zorlaştırır ve hem bireysel kullanıcılar ve kuruluşlar için ciddi bir risk oluşturur.
Modiloader kampanyası, CMD.EXE, PowerShell.exe, Esentutl.exe ve Extrac32.exe için Dosya Manipülasyonu ve Politika Değişiklikleri gibi meşru Windows süreçlerinin ve araçların kurnaz kullanımını vurgular.
Bu kötü amaçlı yazılımların normal sistem işlemlerine karışma yeteneği, proaktif güvenlik önlemlerinin öneminin altını çizmektedir.
Kullanıcılara e -posta ekleri, özellikle de komut dosyası yürütme isteyenler ile dikkatli olmaları ve güvenlik yazılımlarının güncel olmasını sağlamaları tavsiye edilir.
Kimlik avı bu tür tehditler için birincil bir vektör olarak kaldıkça, enfeksiyonu önlemek için güçlü bir siber güvenlik hijyeni duygusu korumak kritiktir.
ASEC raporu, gelişen tehdit manzarasının ve hassas bilgileri çalmak için tasarlanmış kötü amaçlı yazılımlara karşı sürekli uyanıklık ihtiyacının kesin bir hatırlatıcısı olarak hizmet vermektedir.
Uzlaşma Göstergeleri (IOC)
| Tip | Değer |
|---|---|
| MD5 | 7FA27C24B89CDFB47350ECFD70E30E93 |
| MD5 | A0A35155C0DAF219921566B00B9609C |
| Url | https://api.telegram.org/bot8135369946:aaegf2h0erfziolbsn5avebr_xgb-x1qmk/senddocument?chat_id=7009913093 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!