Güney Kore'yi hedef alan devam eden bir kötü amaçlı yazılım dağıtım kampanyası, WebHards ve sel yoluyla paylaşılan bir yetişkin oyunu olarak fareleri (uzaktan erişim truvaları) gizliyor.
Saldırganlar, NJRAT ve UDP sıçanı gibi kolayca elde edilebilir bir kötü amaçlı yazılım kullanıyor, onları bir oyun ya da başka bir program gibi görünen bir pakete sarın ve ardından Webhards'a yükleyin.
Webhard, Kore'de popüler bir çevrimiçi depolama hizmetidir, özellikle doğrudan indirmelerin kolaylığı için tercih edilir.
Kullanıcılar, Discord veya Sosyal Medya mesajları aracılığıyla WebHards'ta sona eriyor, ancak popüler depolama havuzları, paylaşılan içerik nedeniyle sürekli günlük ziyaretçilerin akışını kullanıyor.
ASEC'teki analistler tarafından bildirildiği gibi, tehdit aktörleri şimdi bir yetişkin oyunu içeren zip dosyası olarak gizlenmiş bir UDP sıçanı dağıtmak için Webhards kullanıyor.
Çıkarıldığında, arşiv aslında UDP oranı kötü amaçlı yazılım olan bir 'Game.exe' başlatıcısı içerir.
İcra üzerine, game.exe bir Themida-Paketlenmiş bir sıçan bırakır ve gizlenirken, daha sonra gerçek oyunu çalıştıracak, kurbanı her şeyin yolunda gittiğini ikna eden yeni bir oyun.exe dosyası oluşturur.
Kötü amaçlı yazılım çalıştırılabilirleri 'C: \ Program Dosyaları \ 4.0389' klasörüne düşürülür ve C & C'ye bağlanabilen ve daha fazla kötü amaçlı yükler indirebilecek kötü amaçlı yazılımlardan oluşur.
Bu kampanya için ASEC, ek yüklerin hiçbirini örnekleyemedi, böylece bu gelecekteki dağıtım için korunmuş bir işlevsellik olabilir ya da sadece aralıklı olarak kullanılmıştır.
NJRAT gibi kötü amaçlı yazılımlar özellikle tehlikelidir, çünkü hesap bilgileri ve tuş vuruşları da dahil olmak üzere tehdit aktörleri için hassas bilgileri çalabildiği içindir.
Bu araçlar tipik olarak, uzlaşmış cihazdaki ekran görüntülerini yakalayabilir ve ayrıca Windows kayıt defterini kalıcı olarak değiştirebilirler.
Bu durumda, kötü amaçlı yazılım, C2 sunucusuna periyodik bir bağlantı sağlamak için bir kayıt defteri anahtarı ekler, daha fazla yükleme yükünü açma olasılığını koruyun.
Aktörler insanları njrats'ı sistemlerine indirmeye ikna etmek için çeşitli püf noktaları kullandılar, ancak barındırma hizmetleri ve selleri istikrarlı bir sorun kaynağıdır.
Webhards tipik olarak düzenlenmemiş alanlardır, kullanıcıların platformda başkalarıyla yüklendiğini ve paylaştığını kontrol etmesiyle, bu yüzden bir tanesine işaret ederseniz, çok dikkatli olun.
ASEC, Haziran ayında tekrar bu risk konusunda uyarıda, aktörler, "kayıp kalıntılar" adlı bir platform oyunu olarak gizlenmiş bir başka emtia kötü amaçlı yazılımını dağıttığında.
Bu paketin hem oyunu hem de kötü amaçlı yazılımları aynı anda çalıştırma kapasitesine sahipti ve enfeksiyonu gerçekleştirmek için çok daha zorlaştırıyor.
Birden fazla sıçanı bırakmak için eski MS Office kusurunu kullanarak politik temalı aktör
Çince bilgisayar korsanları, Savunma'ya saldırmak için Windows sıfır gününü kullanıyor, BT firmaları
Kore'den ayrılmaya çalışırken Trickbot Gang Geliştirici Tutuklandı
Microsoft: WizardUpdate Mac Malware yeni kaçırma taktikleri ekler
Masif Kampanya, Şifre Çalma Kötü Amaçlı Yazılımları itmek için YouTube'u kullanır.
Kaynak: Bleeping Computer