Saint Bot Malware
Siber güvenlik uzmanları, bilgisayar korsanı çevreleri arasında ilgi kazanıyor gibi görünen, yakın zamanda piyasaya sürülen yeni bir kötü amaçlı yazılım düşürücü yakaladı. Kötü amaçlı yazılım olarak adlandırılan Saint Bot tehdidi, daha önce hiç görülmemiş bir yetenek sergilemeyebilir, ancak oluşturulmasında kullanılan çok çeşitli teknikler, geliştiricinin kesinlikle kötü amaçlı yazılım tasarımı hakkında bilgiye sahip olduğunu gösterir.
Saint Bot kötü amaçlı yazılım saldırısı, birkaç ara adımdan geçen karmaşık bir süreçtir. İlk uzlaşma vektörü, silahlı bir ek taşıyan bir kimlik avı e-postasıdır. 'Bitcoin.zip' dosyası bir Bitcoin cüzdanı gibi görünürken aslında bir PowerShell betiğidir. Sonraki aşamada, PowerShell betiği bir WindowsUpdate.exe yürütülebilir dosyasına yeni bir kötü amaçlı yazılım bırakır ve bu daha sonra InstallUtil.exe adlı ikinci bir yürütülebilir dosya sunar. Son olarak, son iki yürütülebilir dosya virüslü sisteme getirilir - 'def.exe', Windows Defender'ı devre dışı bırakmak için tasarlanmış bir toplu komut dosyasıdır, 'putty.exe' ise ana Saint Bot yükünü içerir. Kötü amaçlı yazılım tehdidi daha sonra Komuta ve Kontrol (C2, C&C) sunucuları ile bir bağlantı kurdu ve kurbanın daha fazla sömürülmesi için talimatlar bekliyor.
Güçlü Kaçınma ve Algılama Önleme Teknikleri
Saint Bot kötü amaçlı yazılımının üç kötü amaçlı işlevi vardır:
1. C2 sunucusundan ek kötü amaçlı yazılım yükleri alın ve yürütün. Şimdiye kadar, bu yükler çoğunlukla Taurus Stealer veya orta aşamadaki dropper'lar gibi bilgi hırsızları içindi. Ancak Saint Bot, her türlü kötü amaçlı yazılım yükünü bırakabilir.
2. Kendini güncelleme
3. İzlerini kapatmak için tehlike altındaki makineden kendisini tamamen çıkarmak
Kesinlikle oradaki en çok yönlü tehdit olmasa da, Saint Bot inkar edilemez derecede etkilidir. Saldırı zinciri boyunca mevcut olan gizleme, birkaç anti-analiz tekniği ile desteklenir. Sonuç olarak, Saint Bot son derece kaygandır ve tehdit aktörünün, tehlike altındaki cihazı fark edilmeden kullanmasına izin verebilir.
Ek olarak, Saint Bot hata ayıklayıcıları veya sanal bir ortamda çalıştırılıp çalıştırılmadığını kontrol eder. Kötü amaçlı yazılım tehdidi, virüs bulaşmış kurban BDT bölgesindeki ülkeler (Bağımsız Devletler Topluluğu) - Romanya, Ermenistan, Kazakistan, Moldova, Rusya, Ukrayna ve Beyaz Rusya - listesindeyse, yürütmeyi durduracak şekilde programlanmıştır.
