Yeni bir kimlik avı kampanyası, iki yıl önce keşfedilen eski Windows kullanıcı hesap kontrol bypass'ın yardımıyla Remcos Rat kötü amaçlı yazılımları ile Doğu Avrupa ülkelerindeki organizasyonları hedefliyor.
Windows kullanıcı hesabı kontrolünü atlamak için sahte güvenilir dizinlerin kullanılması, 2020'den beri bilindiği ancak bugün etkili olmaya devam ettiği gibi saldırıda öne çıkıyor.
En son Remcos kampanyası, bugün yayınlanan bir raporda bulgularını belgeleyen Sentinelone araştırmacıları tarafından gözlemlendi ve analiz edildi.
Kimlik avı kampanyası e-postaları, alıcının ülkesine uygun üst düzey alanlardan gönderilir ve genellikle faturalar, ihale belgeleri ve diğer finansal belgeler olarak maskelenir.
E -postalar, alıcının dikkatini, DBatloader yürütülebilir dosyasını içeren bir Tar.lz arşivine yönlendirmek için gerekenden başka bir metin içermez.
Böyle alışılmadık bir dosya formatı seçimi, kurbanların eki başarıyla açma şansını azaltır, ancak aynı zamanda antivirüs yazılımından ve e -posta güvenlik araçlarından kaçınmaya yardımcı olur.
Kötü amaçlı yazılım yükleyicisinin ilk aşama yükü, kurbanı açmak için kandırmak için çift uzantılar ve uygulama simgeleri kullanarak bir Microsoft Office, LibreOffice veya PDF belgesi olarak gizlenir.
Kötü amaçlı yazılım yükleyicisini başlattıktan sonra, Microsoft OneDrive veya Google Drive gibi genel bir bulut hizmetinden ikinci aşamalı bir yük getirilir.
Sentinel One, bir durumda, bulut hizmetinin bir aydan fazla bir süredir DBatloader'a ev sahipliği yapmak için istismar edildiğini, ancak tehdit aktörlerinin kendi veya tehlikeye atılmış bir hesapları temiz bir geçmişle kullanıp kullanmadığı belli değil.
Remcos Rat'ı yüklemeden önce DBatloader, 2020'de belgelenen bir Windows UAC bypass yöntemini kötüye kullanmak için bir Windows toplu komut dosyası oluşturur ve yürütür.
İlk olarak Güvenlik Araştırmacısı Daniel Gebert tarafından Windows 10'da gösterilen yöntem, UAC'yi atlamak ve kullanıcıyı istemeden kötü amaçlı kod çalıştırmak için DLL kaçırma ve sahte güvenilir dizinlerin bir kombinasyonunu kullanmayı içerir.
Windows UAC, Microsoft'un Windows Vista'da tanıttığı ve kullanıcılardan yüksek riskli uygulamaların yürütülmesini onaylamalarını istediği bir koruma mekanizmasıdır.
C: \ Windows \ System32 \ gibi bazı klasörler, Windows tarafından güvenilir ve yürütülebilir ürünlerin bir UAC istemi görüntülemeden otomatik olarak elevatik yapmasına izin verir.
Bir Mock Dizini, arka alana sahip bir taklit dizinidir. Örneğin, "C: \ Windows \ System32" meşru bir klasördür ve Windows'ta güvenilir bir yer olarak kabul edilir. Bir sahte dizin "C: \ Windows \ System32" gibi görünecek, C: \ Windows \ 'dan sonra ekstra bir alan.
Sorun şu ki, Dosya Gezgini, "C: \ Windows" ve "C: \ Windows" i aynı klasör olarak ele alıyor, böylece işletim sistemini düşünmeye kandırmak C: \ Windows \ System32 güvenilir bir klasördür ve Dosyalarının bir UAC istemi olmadan otomatik olarak çekilmesini sağlayın.
DBatloader tarafından kullanılan komut dosyası, bu durumda, sahte güvenilir dizinler aynı şekilde oluşturur, "C: \ Windows \ System32" klasör oluşturur ve meşru yürütülebilir dosyaları ("Easinvoker.exe") ve kötü niyetli DLL'leri ("netutils.dll") kopyalar. ).
"Easinvoker.exe, kötü niyetli netutils.dll'nin bağlamında yürütülmesini sağlayan DLL kaçırmaya yatkındır."
"Easinvoker.exe, otomatik olarak çıkarılan bir yürütülebilir dosyadır, yani Windows, güvenilir bir dizinde bulunursa bir UAC istemini vermeden bu işlemi otomatik olarak yükseltir-Mock %SystemRoot %\ System32 dizin bu kriterlerin yerine getirilmesini sağlar."
Kötü amaçlı yazılım yükleyicisi, DLL'de Microsoft'un savunucusu dışlama listesine gizlenen kötü amaçlı komut dosyasını ("kdeco.bat") ekler ve daha sonra yeni bir kayıt defteri anahtarı oluşturarak Remcos için kalıcılık oluşturur.
Sonunda, REMCO'lar, anahtarloglama ve ekran görüntüsü yakalama özellikleri ile yapılandırılmış proses enjeksiyonu yoluyla yürütülür.
SentinelOne, sistem yöneticilerinin Windows UAC'yi "her zaman bilgilendirecek" olarak yapılandırdığını önermektedir, ancak bu çok obstrüktif ve gürültülü olabilir.
Yöneticiler ayrıca şüpheli dosya oluşturmalarını veya Trust dosya sistemi yollarında, özellikle "\ windows" dizesini içeren klasörleri ile işlemleri izlemelidir.
Emotet kötü amaçlı yazılım saldırıları üç aylık moladan sonra geri döndü
Microsoft OneNote dosyalarının pencereleri kötü amaçlı yazılımlarla enfekte etmesini nasıl önleyebilirim
Bilgisayar korsanları, Windows, Android kötü amaçlı yazılımları itmek için sahte chatgpt uygulamalarını kullanır
Bilgisayar korsanları, bilgi kullanan kötü amaçlı yazılımları zorlamak için sahte kripto iş tekliflerini kullanır
Hacker, yüksek değerli hedefler bulmak için yeni 'ekran görüntüsü' kötü amaçlı yazılım geliştirir
Kaynak: Bleeping Computer