Yeni bir kimlik avı kampanyası, kullanıcıların BazarbackDoor Malware ile birlikte kullanıcıların cihazlarını enfekte etmek için özel olarak hazırlanmış CSV metin dosyalarını kullanıyor.
Virgülle ayrılmış değerler (CSV) dosyası, virgülle ayrılmış veri sütunları içeren metin satırlarını içeren bir metin dosyasıdır. Çoğu durumda, her sütun için ilk metin satırı başlık veya açıklamadır.
Örneğin, bazı ABD durumlarının başkentlerini içeren çok temel bir CSV metin dosyası aşağıda gösterilmiştir. Vicili her bir veri sütunu nasıl ayırdığınıza dikkat edin (Devletler ve Başkentler).
Yukarıda görebileceğiniz gibi, dosya metninden başka bir şey içermiyor, ancak Excel'e yüklendiğinde, veriler her satırda kendi satırında sunulur ve virgül tarafından veri sütunlarına ayrılır.
CSVS kullanarak, daha sonra bir veri kaynağı olarak, bunun Excel, bir veritabanı, şifre yöneticileri veya fatura yazılımı olsun, diğer programlara aktarılabilen uygulamalardan veri dışa aktarmak için popüler bir yöntemdir.
Bir CSV basitçe yürütülebilir bir kod olmadan metin olduğundan, birçok kişi bu tür dosyaları zararsız olarak görür ve bunları açarken daha kaygısız olabilir.
Bununla birlikte, Microsoft Excel, CSV dosyaları dahil olmak üzere, çıkışı açık elektronik tabloya giren komutları yürütmek için kullanılabilecek, dinamik veri değişimi (DDE) adlı bir özelliği desteklemektedir.
Ne yazık ki, tehdit aktörleri ayrıca bu özelliği, kötü amaçlı yazılımları uygun olmayan mağdurlara indirip yükleyen komutları yürütmek için de kullanabilir.
Güvenlik araştırmacısı tarafından görülen yeni bir kimlik avı kampanyası Chris Campbell, Bazarloader / Bazarbackdoor Trojan'ı kötü amaçlı CSV dosyalarıyla kuruyor.
BazarbackDoor, Trickbot Grubu tarafından tehdit kartı olan bir ağ içindeki daha fazla yanal hareketi için bir sıçrama tahtası olarak kullanılabilecek bir iç cihaza uzaktan erişim sağlayan gizli bir arka kapı kötü amaçlı yazılımdır.
Kimlik avı e-postaları, bir CSV dosyasını 'Document-21966.csv.' İle benzer isimlerle indiren uzak siteler için linklerle "ödeme havale önerileri" gibi davranıyorlar.
Tüm CSV dosyaları gibi, Document-21966.csv dosyası, aşağıda görüldüğü gibi virgülle ayrılan veri sütunları olan sadece bir metin dosyasıdır.
Akıllı okuyucu olsa da, veri sütunlarından birinin, bir PowerShell komutunu başlatan veri sütunlarından birinde garip bir WMIC çağrısı içerdiğini fark edecektir.
Bu = WMIC | Komut, WMIC.EXE'yi başlatmak ve açık çalışma kitabına veri girmek için verilen PowerShell komutunu yürütmek için verilen izin verirse, Microsoft Excel'e neden olan bir DDE işlevidir.
Bu özel durumda, DDE, daha sonra yürütülen başka bir PowerShell komutu içeren uzak bir URL'yi açan yeni bir PowerShell işlemi oluşturmak için WMIC'i kullanacaktır.
Aşağıda gösterilen Remote PowerShell Komut Dosyası komutu, bir picture.jpg dosyasını indirir ve C: \ Users \ Public \ 87764675478.dll olarak kaydeder. Bu DLL programı daha sonra RunDll32.exe komutu kullanılarak yürütülür.
[Tria.ge örneği] DLL dosyası, BazarLader'ı yükleyecek, sonuçta BazarbackDoor ve diğer yükleri cihazdaki kullanacak.
Neyse ki, bu CSV dosyası Excel'de açıldığında, program DDE çağrısını tespit eder ve kullanıcının güvenlik kaygısı olarak işaretlenmiş olan "bağlantıların otomatik güncellemesini etkinleştirmesini" isteyin.
Özelliği etkinleştirse bile, Excel onlara WMIC'nin uzak verilere erişmeye başlamasına izin verilmesine izin verilmesi gerektiğinde onaylar.
Kullanıcı her iki soruyu da onaylarsa, Microsoft Excel PowerShell komut dosyalarını başlatır, DLL indirilecek ve yürütülecek ve cihaza Bazarbackdoor yüklenecektir.
Bu tehdit, kullanıcıların DDE işlevinin yürütülmesine izin verilmesi gerektiğini, AdvinTel CEO'su Vitali Kremez, BleepingComputer'a insanların devam eden kimlik avı saldırısına düştüğünü söyledi.
"Bazarbackdoor Telegetry'deki görünürlüğümüze dayanarak, bu kimlik avı kampanyasından geçen 102 gerçek Sandbox dışı kurumsal ve hükümet kurbanını gözlemledik" dedi. "Çevrimiçi bir tartışmada.
Bazarbackdoor kurulduktan sonra, tehdit aktörlerinin, saldırıların ağ boyunca yanal olarak yayılması için kullanacağı kurumsal ağa erişim sağlayacaktır.
Sonuçta, bu daha fazla kötü amaçlı yazılım bulaşmasına, verilerin çalınmasına ve fidye yazılımının dağıtılmasına neden olabilir.
Güçlü Yeni Oski Varyant 'Mars Stealer' 2FAS ve Crypto Kapma
Memento Ransomware ile bağlantılı siberler yeni PowerShell Malware
Rus 'Gamaredon' bilgisayar korsanları, saldırılarda 8 yeni kötü amaçlı yazılım yükü kullanıyor
Abonelik sahtekarlık kampanyası tarafından hedeflenen 105 milyon Android kullanıcısı
Yeni flubot ve teabot kampanyaları dünya çapında android cihazları hedefliyor
Kaynak: Bleeping Computer