Reklam
Security

RAT kötü amaçlı yazılımı Kore’de web sabitleri ve torrentler aracılığıyla yayılıyor

kötü amaçlı yazılım kafatası

Güney Kore’yi hedefleyen devam eden bir kötü amaçlı yazılım dağıtım kampanyası, RAT’leri (uzaktan erişim truva atları) web sabitleri ve torrentler aracılığıyla paylaşılan yetişkinlere yönelik bir oyun olarak gizlemektedir.

Saldırganlar, njRAT ve UDP RAT gibi kolayca elde edilebilen kötü amaçlı yazılımlar kullanıyor, bunları bir oyun veya başka bir program gibi görünen bir pakete sarıp web donanımlarına yüklüyor.

WebHard, Kore’de popüler bir çevrimiçi depolama hizmetidir ve doğrudan indirme kolaylığı nedeniyle tercih edilir.

Kullanıcılar Discord veya sosyal medya gönderileri aracılığıyla web sabitlerine ulaşırlar, ancak popüler depolama havuzları, paylaşılan içerik nedeniyle düzenli bir günlük ziyaretçi akışının keyfini çıkarır.

ASEC analistleri tarafından bildirildiği üzere, tehdit aktörleri artık yetişkinlere yönelik bir oyun içeren ZIP dosyası olarak gizlenmiş bir UDP RAT’ı dağıtmak için web donanımlarını kullanıyor.

Arşiv, ayıklandığında, aslında UDP oranlı kötü amaçlı yazılım olan bir ‘game.exe’ başlatıcısı içerir.

Paketlenmemiş klasördeki Game.exe
Paketlenmemiş klasördeki Game.exe
Kaynak: ASEC

Yürütüldükten sonra Game.exe, Themida ile dolu bir RAT bırakır ve gizlenir, ardından asıl oyunu çalıştıracak yeni bir Game.exe dosyası oluşturur ve kurbanı her şeyin yolunda gittiğine ikna eder.

Yürütülebilir kötü amaçlı yazılım dosyaları ‘C:Program Files4.0389’ klasörüne bırakılır ve C&C’ye bağlanabilen ve daha fazla kötü amaçlı yük indirebilen kötü amaçlı yazılım alıcılarıdır.

Bırakılan kötü amaçlı yazılım dosyaları
Bırakılan kötü amaçlı yazılım dosyaları
Kaynak: ASEC

Bu kampanya için, BİR SANİYE ek yüklerden herhangi birini örnekleyemedi, bu nedenle bu, gelecekteki dağıtım için korunan bir işlev olabilir veya yalnızca aralıklı olarak kullanılıyor olabilir.

Ek yükleri almak için C2'ye bağlanma
Ek yükleri almak için C2’ye bağlanma
Kaynak: ASEC

njRAT gibi kötü amaçlı yazılımlar özellikle tehlikelidir hassas bilgileri çalmak hesap kimlik bilgileri ve tuş vuruşları dahil olmak üzere tehdit aktörleri için.

Bu araçlar genellikle güvenliği ihlal edilmiş aygıtta ekran görüntülerini yakalayabilir ve ayrıca Windows Kayıt Defterini kalıcılık için değiştirir.

Bu durumda, kötü amaçlı yazılım, C2 sunucusuna periyodik bir bağlantı sağlamak için bir Kayıt Defteri anahtarı ekleyerek daha fazla yük alma olasılığını açık tutar.

Aktörler çeşitli hileler kullandı insanları sistemlerine njRAT indirmeye ikna etmek için, ancak dosya barındırma hizmetleri ve torrentler istikrarlı bir sorun kaynağı olmaya devam ediyor.

Web sabitleri genellikle düzenlenmemiş alanlardır ve hiç kimse kullanıcıların platformda ne yüklediğini ve başkalarıyla ne paylaştığını kontrol etmez, bu nedenle bir tanesine işaret ettiğinizde çok dikkatli olun.

ASEC bu risk konusunda bir kez daha uyardı Hazirandaaktörler, ‘Kayıp Harabeler’ adlı bir platform oyunu kılığında başka bir kötü amaçlı kötü amaçlı yazılım dağıttığında.

Bu paket aynı zamanda hem oyunu hem de kötü amaçlı yazılımı aynı anda çalıştırma kapasitesine sahipti ve bu da enfeksiyonun fark edilmesini çok daha zorlaştırıyordu.


Source link

Başa dön tuşu

Reklam Engelleyici Algılandı

Lütfen reklam engelleyiciyi devre dışı bırakarak bizi desteklemeyi düşünün