Bilgisayar korsanları, Windows kullanıcılarını, görünüşte iyi huylu oyunla ilgili uygulamalar aracılığıyla dağıtılan kötü amaçlı Winos4.0 çerçevesiyle giderek daha fazla hedefliyor.
Araç seti, sömürü sonrası çerçevelerin şerit ve kobalt grevine eşdeğerdir ve bu yaz Trend Micro tarafından Çinli kullanıcılara yönelik saldırılara ilişkin bir raporda belgelenmiştir.
O zamanlar, kötü niyetli bileşeni bir araya getiren Çin pazarı için değiştirilmiş çeşitli yazılımlar (VPN'ler, Google Chrome tarayıcısı) teklifleri ile kurbanları geçersiz olarak izleyen bir tehdit oyuncusu.
Bugün siber güvenlik şirketi Fortinet'in bir raporu, faaliyette bir evrim olduğunu gösteriyor ve bilgisayar korsanları şimdi Çinli kullanıcıları hedeflemelerinde oyunlara ve oyunla ilgili dosyalara güveniyor.
Görünüşte meşru yükleyiciler yürütüldüğünde, çok aşamalı bir enfeksiyon işlemi başlatmak için “AD59T82G [.] Com” dan bir DLL dosyası indirirler.
İlk aşamada, bir DLL dosyası (You.dll) ek dosya indirir, yürütme ortamını ayarlar ve Windows kayıt defterine giriş ekleyerek kalıcılık oluşturur.
İkinci aşamada, enjekte edilen Shellcode API'ları yükler, yapılandırma verilerini alır ve komut ve kontrol (C2) sunucusuna bir bağlantı kurar.
Üçüncü aşamada, başka bir DLL (上线模块 .dll), C2 sunucusundan ekstra kodlanmış veri alır, "HKEY_CURRENT_USER \\ Konsolu \\ 0" adresindeki kayıt defterinde saklar ve C2 adreslerini günceller.
Saldırı zincirinin son aşamasında, birincil kötü niyetli eylemleri gerçekleştiren giriş modülü (登录模块 .dll) yüklenir:
Winos4.0, Kaspersky, Avast, Avira, Symantec, Bitdefender, Dr.Web, Malwarebebytes, McAfee, Ahnlab, Panda Güvenliği ve şimdi durdurulan Microsoft Güvenlik Temelleri dahil olmak üzere çeşitli güvenlik araçlarını kontrol ediyor.
Bu işlemleri belirleyerek, kötü amaçlı yazılım izlenen bir ortamda çalışıp çalışmadığını belirler ve davranışını buna göre ayarlar veya yürütmeyi durdurur.
Bilgisayar korsanları Winos4.0 çerçevesini birkaç aydır kullanmaya devam ettiler ve yeni kampanyaların ortaya çıktığını görmek, kötü niyetli operasyonlardaki rolünün sağlamlaştığının bir göstergesidir.
Fortinet, çerçeveyi, kobalt grevine ve şeridine benzer işlevselliğe sahip, tehlikeye atılmış sistemleri kontrol etmek için kullanılabilecek güçlü bir çerçeve olarak tanımlar. Uzlaşma göstergeleri (IOC'ler) Fortinet ve Trend Micro'nun raporlarında mevcuttur.
Kuzey Koreli bilgisayar korsanları kripto firmalarına karşı yeni macOS kötü amaçlı yazılım kullanıyor
Yeni Steelfox kötü amaçlı yazılım, savunmasız sürücü kullanarak Windows PC'leri kaçırır
Govt Network'teki Sophos Güvenlik Duvarı Hackinde Kullanılan Özel "Cugmy Keçi" Kötü Yazılım
Soğuk depolama devi Americold, Nisan kötü amaçlı yazılım saldırısından sonra veri ihlalini açıklar
Sophos, Network Cihazlarına Saldıran Çinli Hacker'larla 5 Yıllık Savaşı ortaya çıkarıyor
Kaynak: Bleeping Computer