Verblecon Malware
Verblecon adlı yeni ve güçlü bir kötü amaçlı yazılımla ilgili ayrıntılar gün ışığına çıkarıldı. Tehdit edici suş ilk olarak araştırmacılar tarafından Ocak 2022'de tespit edildi. Bulgularına göre, saldırı operasyonlarının bir parçası olarak şu anda Verblecon Kötü Amaçlı Yazılımı kullanan tehdit aktörü, tehdidin yeteneklerinin yalnızca küçük bir bölümünü kullanıyor. Gerçekten de, ihlal edilen cihazlarda çok sayıda istilacı eylem gerçekleştirme kapasitesine sahip olmasına rağmen, Verblecon şimdiye kadar kripto madenciliği yüklerini sağlayan bir yükleyici rolüne havale edildi.
Teknik detaylar
Verblecon kötü amaçlı yazılımı Java tabanlıdır ve polimorfik bir yapıya sahiptir. Bu, tehdidin yükünün kodunun her indirildiğinde farklı göründüğü anlamına gelir. Bu tür karmaşık teknikler, tipik olarak siber casuslukta yer alan tehdit aktörleri tarafından kullanılır. Ayrıca, tehdidin kod akışı, dizileri ve sembollerinin tümü tamamen gizlenmiştir ve Verbelcon'u son derece gizli hale getirir.
Tehdit ayrıca sanallaştırma ve korumalı alan ortamları için çeşitli denetimler gerçekleştirir. Şu anda çalışan süreçlerin bir listesini getirir ve sanal makine sistemleriyle ilişkili olduğu bilinen önceden belirlenmiş bir dosya seçimiyle eşleşir. Tüm kontroller geçilirse, tehdit kendisini %ProgramData% , %LOCALAPPDATA% ve Users gibi bir yerel dizine kopyalayarak yürütülmesine devam edecektir.
Verblecon, yeni bir veri yükü almak ve dağıtmak için bir Komuta ve Kontrol (C2) sunucusuyla periyodik olarak iletişim kurmaya çalışacaktır. Yük, benzer teknikler kullanılarak gizlenir ve ayrıca sanallaştırma işaretleri için ortamı kontrol eder. Araştırmacılara göre, yükün ana görevi, daha sonra %Windows%\SysWow64\dllhost.exe içine enjekte edilecek bir ikili dosyayı indirmek ve yürütmektir.
Söylediğimiz gibi, Verblecon'un dahil olduğu mevcut operasyonlar, tehdidin tüm yeteneklerini kullanmaz ve çoğunlukla kripto madenciliği tehditleri ile sınırlıdır. Saldırganların kurbanların Discord tokenlerini almakla ilgilendiğine dair işaretler de var.
