Güvenlik firması Point Wild’daki LAT61 Tehdit İstihbarat Ekibi tarafından yeni ve aldatıcı çok aşamalı bir kötü amaçlı yazılım kampanyası tanımlandı. Saldırı, Remcos olarak bilinen tehlikeli bir uzaktan erişim Truva atı (sıçan) sunmak için kötü amaçlı pencereler kısayolu veya LNK, dosyalar, bir programa veya dosyaya basit bir işaretçi içeren akıllı bir teknik kullanır.
Point Wild’ın CTO’su Dr. Zulfikar Ramzan liderliğindeki ve hackread.com ile paylaşılan araştırma, kampanyanın muhtemelen bir e -postaya eklenmiş gibi görünüşte zararsız bir kısayol dosyasıyla başladığını ortaya koyuyor.ORDINE-DI-ACQUIST-7263535. “
Bir kullanıcı üzerine tıkladığında, LNK dosyası arka planda bir PowerShell komutunu gizlice çalıştırır. Bilgileriniz için PowerShell, Windows’un görev otomasyonu için kullandığı güçlü bir komut satırı aracıdır; Ancak, bu saldırıda, gizli bir yükü indirmek/çözmek için kullanılır.
Bu komut, güvenlik uyarılarını tetiklemeden, herhangi bir dosyayı kaydetmeden veya makroları kullanmadan gizli bir yükü indirmek ve çözmek için tasarlanmıştır. Araştırma, bu LNK dosyası için belirli dosya karmaları sağlar, MD5: ae8066bd5a66ce22f6a91bd935d4eee6tespitte yardımcı olmak için.
Saldırının gizli katmanları:
Bu kampanya, birkaç farklı kılık değiştirme katmanı kullanılarak gizli olacak şekilde tasarlanmıştır. İlk PowerShell komutu çalıştıktan sonra, uzak bir sunucudan baz64 kodlu bir yük getirir. Base64 ikili verileri metne kodlamak için standart bir yöntem olduğundan, kötü niyetli kodu düz bir şekilde gizlemenin yaygın bir yoludur.
Yük indirilip kod çözüldükten sonra, bir program bilgi dosyası olarak başlatılır veya .PIF eski programlar için sıklıkla kullanılan bir yürütülebilir türden dosya. Saldırganlar bu dosyayı gizledi CHROME.PIF meşru bir programı taklit etmek.
Bu son adım, Remcos arka kapısını yükleyerek saldırganlara tehlikeye atılan sistemin tam kontrolünü sağlıyor. Kötü amaçlı yazılım ayrıca, yeni bir Remcos klasöründe tuş vuruşu kaydı için bir günlük dosyası oluşturarak sistemdeki kalıcılığını sağlar. %ProgramData% dizin.
Remcos Backdoor ne yapabilir?
Kurulduktan sonra Remcos Backdoor, saldırganlara kurbanın bilgisayarı üzerinde geniş kontrol veriyor. Tehdit Zekası raporu, şifreleri çalmak için anahtarlama, doğrudan erişim için uzak bir kabuk oluşturma ve dosyalara erişim kazanma da dahil olmak üzere çok çeşitli kötü amaçlı etkinlikler gerçekleştirebileceğini belirtiyor.
Ayrıca, Remcos Backdoor, saldırganların bilgisayarın web kamerasını ve mikrofonunu kontrol etmelerini sağlayarak kullanıcıya casusluk yapmalarını sağlar. Araştırma ayrıca, bu özel kampanya için komuta ve kontrol (C2) altyapısının Romanya ve ABD’de düzenlendiğini ortaya koydu.
Bu bulgu, bu saldırılar dünyanın herhangi bir yerinden kaynaklanabileceğinden, dikkatli olması gerektiğini vurgulamaktadır. Araştırmacılar, kullanıcıların güvenilmeyen kaynaklardan kısayol dosyaları ile temkinli kalmalarını, bunları açmadan önce eklemleri çift kontrol etmelerini ve gerçek zamanlı korumalı güncellenmiş antivirüs yazılımı kullanmasını önerir.