Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Uzaktan Yönetim Araçları Çift Yüklü Kötü Amaçlı Yazılım Kampanyası

Çift Yüklü Kötü Amaçlı Yazılım Kampanyası

Mezo'de Uzaktan Yönetim Araçları, Reklam yazılımı'de
Çevir:

Yeni ortaya çıkarılan bir kötü amaçlı yazılım kampanyası, aynı anda iki farklı tehdidi birden yayabilme özelliği nedeniyle siber güvenlik camiasında büyük ilgi çekiyor. Gh0st RAT ve CloverPlus'ı aynı ele geçirilmiş sisteme yüklemek için tek bir gizlenmiş yükleyici kullanılıyor.

Bu kombinasyon hem alışılmadık hem de son derece stratejiktir. Gh0st RAT, bulaşmış makine üzerinde tam uzaktan kontrol sağlarken, CloverPlus tarayıcı etkinliğini manipüle etmeye, reklam bileşenleri eklemeye ve rahatsız edici açılır pencereler aracılığıyla gelir elde etmeye odaklanır. Bu ikili dağıtım, tehdit aktörlerinin kalıcı yetkisiz erişimi sürdürmelerine ve enfeksiyonu gerçek zamanlı olarak paraya çevirmelerine olanak tanır.

Bu kampanya, saldırganların tek bir güvenlik açığından operasyonel verimliliği ve finansal getiriyi en üst düzeye çıkarmayı hedeflediği, çoklu saldırı gücü kullanımına yönelik artan bir eğilimi vurgulamaktadır.

Gizleme Taktikleri: Yükü Saklamak

Bu kampanyanın merkezindeki yükleyici, gizlilik için tasarlanmıştır. Geleneksel tespit mekanizmalarından kaçınmak için gizleme teknikleri kullanarak, kaynak bölümüne iki şifrelenmiş yük yerleştirir.

İşlem, AdWare.Win32.CloverPlus olarak tanımlanan ve wiseman.exe adlı bir yürütülebilir dosyayla ilişkilendirilen CloverPlus reklam yazılımı modülüyle başlar. Bu bileşen, tarayıcı başlangıç ayarlarını değiştirir ve kalıcı açılır reklamlar yerleştirir.

Bunun ardından yükleyici, yürütme yolunu değerlendirir. Eğer sistemin %temp% dizininden çalışmıyorsa, devam etmeden önce kendisinin bir kopyasını oraya oluşturur. Sonraki aşama, kötü amaçlı yazılım ikili dosyası içinde şifrelenmiş bir kaynak olarak gizlenmiş olan Gh0st RAT istemci modülünün şifresini çözmeyi içerir.

Şifresi çözüldükten sonra, kötü amaçlı yazılım zararlı yazılıma rastgele bir dosya adı atar ve bunu C:\ sürücüsünün kök dizininde bulunan rastgele adlandırılmış bir klasöre kaydeder; bu da tespit ve analizi daha da zorlaştırır.

Topraktan Geçinmek: Güvenilir Araçlar, Kötü Niyet

Şifresi çözülmüş zararlı yazılımı çalıştırmak için, Windows'un meşru yardımcı programı olan rundll32.exe'yi kullanır. Bu yaklaşım, güvenilir bir sistem işlemi kılıfı altında kötü amaçlı kod yürütülmesini sağlar ve güvenlik savunmalarının tetiklenme olasılığını önemli ölçüde azaltır.

Aktif hale geldiğinde, Gh0st RAT, MAC adresi ve sabit disk seri numarası gibi benzersiz tanımlayıcıları toplayarak ele geçirilen sistemin profilini çıkarmaya başlar. Bu ayrıntılar, kurbanı saldırganın komuta ve kontrol altyapısına kaydetmek için kullanılır ve böylece enfekte olmuş sunucuların hassas bir şekilde izlenmesi ve yönetilmesi sağlanır.

Süreklilik Mekanizmaları: Uzun Vadeli Erişimin Sağlanması

Sistem yeniden başlatıldıktan sonra erişimi sürdürmek bu kampanyanın temel hedeflerinden biridir. Gh0st RAT, işletim sisteminin derinliklerine yerleştirilmiş birden fazla teknik aracılığıyla kalıcılığı sağlar:

Windows Çalıştır kayıt defteri anahtarının, başlangıçta otomatik yürütmeyi sağlamak için değiştirilmesi.
SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip altındaki Uzaktan Erişim hizmet yolunda kötü amaçlı bir DLL'nin kaydedilmesi.

Bu yöntemler, ilgili hizmet başlatıldığında kötü amaçlı yazılıma sistem düzeyinde ayrıcalıklar tanıyarak, daha fazla kullanıcı etkileşimine gerek kalmamasını sağlar ve uzun vadeli kontrolü güçlendirir.

Tespit ve Savunma: Güvenlik İhlali Göstergeleri

Bu kampanyanın hem bireyler hem de kuruluşlar üzerindeki etkisi oldukça büyüktür. Reklam yazılımı bileşeni tarayıcı işlevselliğini bozup kötü amaçlı reklamlara maruz kalmayı artırırken, RAT bileşeni veri hırsızlığına, tuş vuruşu kaydına, güvenlik atlatmaya ve kalıcı ayrıcalıklı erişime olanak tanır.

Güvenlik ekipleri tetikte olmalı ve aşağıdaki güvenlik ihlali belirtilerini izlemelidir:

  • rundll32.exe'nin çalıştırılması, olağandışı veya şüpheli dizinlerden DLL'leri veya standart olmayan dosya uzantılarını yükler.
  • %temp% klasöründen kaynaklanan işlem etkinliği
  • Kayıt defterindeki Çalıştırma anahtarlarında veya Uzaktan Erişim hizmeti yapılandırmalarında yetkisiz değişiklikler
  • Sanal ortam tespitinden kaçınmak için ping tabanlı gecikmelerin kullanılması
  • Anormal DNS trafik modelleri ve sistem hosts dosyasında beklenmedik değişiklikler

Bu karmaşık çift tehditli kötü amaçlı yazılım kampanyasının yarattığı riskleri azaltmak için proaktif izleme ve bu sinyallere hızlı yanıt vermek kritik önem taşımaktadır.

trend

Yeni Gizlilik ve Güvenlik Güncellemesi Onay...

Kimlik avı, İstenmeyen e-posta
Acil işlem gerektiren beklenmedik e-postalar her zaman dikkatle ele alınmalıdır. Siber suçlular, güveni istismar etmek ve paniğe yol açmak için kötü amaçlı mesajları sıklıkla meşru bildirimler gibi gösterirler. 'Yeni Gizlilik Güvenlik Güncellemesini Onayla' e-postaları gibi dolandırıcılıkların, ne kadar resmi görünürlerse görünsünler, herhangi bir meşru şirket, kuruluş veya kurumla ilişkili...

En çok görüntülenen

Yükleniyor...