Meşru yazılım kisvesi altında gizlenen kötü amaçlı .msi yükleyicileri, UULoader adını kullanarak Korece ve Çince konuşanları aktif olarak hedef alıyor, büyük ihtimalle bir Çince konuşan tarafından geliştirilmiş bir yükleyici içeriyor ve çoğu güvenlik çözümü tarafından tespit edilemiyor.
Kötü amaçlı yazılım, gizlenmiş yükleri yürütmek için DLL yan yüklemeyi kullanıyor ve potansiyel olarak uzaktan erişim truva atları veya kimlik bilgisi hırsızları gönderiyor.
UULoader, temel bileşenlerinden (genellikle bir dosyanın başlangıç baytları) dosya başlıklarını sıyırıp uygulamalar ve işletim sistemi için dosya türlerini belirleyerek statik algılamayı öncelikli olarak önler.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Bu tanımlayıcıların kaldırılmasıyla, .cab arşivinde saklanan UULoader’ın yürütülebilir dosyaları statik analiz araçları tarafından tanınmaz hale geliyor, bu da sınıflandırma ve tespiti engelliyor ve kötü amaçlı yazılımın zararsız veriler gibi davranarak yürütülünceye kadar incelemeden kaçmasına olanak tanıyor.
Soyulmuş, meşru bir Realtek yürütülebilir dosyasını başka bir soyulmuş DLL için yan yükleyici olarak paketleyerek katmanlı bir karartma tekniği kullanır.
“XamlHost.sys” için ayrılmış, oldukça karmaşık bir yük, .cab dosyasında, UULoader’ın yürütülmesi sırasında yukarıda belirtilen yürütülebilir dosyanın ve DLL’nin soyulmuş başlıklarını onarmak için kullanılan “M” ve “Z” karakterlerini içeren iki küçük dosyanın yanında yer alıyor ve tespit mekanizmalarından kaçınıyor.
Bazı UULoader örnekleri, kötü amaçlı bileşenlerin yanına meşru bir sahte dosya ekleyerek bir aldatma taktiği kullanır; bu bileşenler genellikle .msi dosyasının iddia edilen işlevini yansıtır ve kullanıcının dikkatini zararlı faaliyetlerden uzaklaştırmayı amaçlar.
Örneğin, bir “Chrome güncellemesi” kılığı, kötü amaçlı işlemleri maskelemek için gerçek bir Chrome güncelleyicisi içerebilirken, UULoader, C:\Program Files (x86)\ dizininde bir “Microsoft Thunder” dizini oluşturmak için bir .msi CustomAction’dan yararlanır.
Daha sonra, gömülü .cab dosyasından, yeniden başlıklı yürütülebilir dosya ve DLL dahil olmak üzere dosyaları çıkarır ve yeniden adlandırır ve gizlenmiş son yükü dağıtır.
Eş zamanlı olarak, yeni oluşturulan dizini Windows Defender korumasının dışında bırakan bir .vbs betiği yürütülür.
Komut dosyası, çıkarılan dosyaları daha fazla işler ve UULoader DLL’sini çağırmak için meşru bir “yan yükleyici” başlatır; bu da gizlenmiş yükü yükler ve bir aldatmaca uygulamasını başlatır.
.vbs betiği, görünüşte meşru bir betik içindeki kötü amaçlı kodları gizlemek için alakasız aritmetik hesaplamalar ekleyerek karartma teknikleri kullanır.
Tespit edilmekten daha fazla kaçınmak için, betik kendisini Defender taramalarından hariç tutar. Sonunda, Gh0stRat ve Mimikatz gibi yükleri teslim etmek için tasarlanmış bir araç olan UULoader’ı dağıtır ve yürütür, bu da muhtemelen Çin kökenli aktörlerden uzaktan erişim ve kimlik bilgisi hırsızlığı potansiyeli olduğunu gösterir.
UULoader, VirusTotal’daki son derece düşük başlangıç tespit oranlarıyla kanıtlandığı üzere, statik tespit araçlarını etkili bir şekilde aşan karmaşık, çok aşamalı bir yük taşıma mekanizması kullanır.
Cyberint’e göre UULoader’ın tam olarak kimin sorumluluğunda olduğu henüz belirlenemese de, zararlı yazılımın özellikleri Çin menşeli olabileceğini gösteriyor.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces