Kötü amaçlı yazılım analistleri geliştiriciyle aracı kullanan saldırılar hakkında karşılaştıktan sonra 'Coderat' olarak adlandırılan bir uzaktan erişim Truva (sıçan) olarak adlandırıldı.
İran'dan kaynaklandığı görülen kötü niyetli işlem, Microsoft Dinamik Veri Değişimi (DDE) istismarını içeren bir Word belgesi ile çok konuşan yazılım geliştiricilerini hedefledi.
İstismar, Tehdit Actor's GitHub deposundan koderat indirir ve yürütür ve uzaktan operatöre çok çeşitli enfeksiyon sonrası özellikler verir.
Daha spesifik olarak, CODERAT yaklaşık 50 komutu destekler ve Webmail'i, Microsoft Office belgelerini, veritabanlarını, sosyal ağ platformlarını, Windows Android için entegre geliştirme ortamı (IDES) ve hatta PayPal gibi bireysel web sitelerini hedefleyen kapsamlı izleme özellikleri ile birlikte gelir.
Siber güvenlik şirketi SafeBreach, kötü amaçlı yazılımın ayrıca Visual Studio, Python, Phpstorm ve Verilog gibi araçlar için hassas pencerelere casusluk yaptığını bildirir - elektronik sistemleri modellemek için bir donanım açıklama dili.
Operatörüyle iletişim kurmak ve çalınan verileri yaymak için CODERAT, daha yaygın komut ve kontrol sunucusu altyapısı yerine genel anonim bir dosya yükleme API'sına dayanan telgraf tabanlı bir mekanizma kullanır.
Araştırmacılar kötü amaçlı yazılım geliştiricisiyle temasa geçtiğinde kampanya aniden dursa da, CODERAT'ın yazarı kaynak kodunu herkese açık hale getirdiği için daha yaygın hale gelecektir.
Kötü amaçlı yazılım, ekran görüntüleri almayı, pano içeriğini kopyalama, çalışan işlemlerin bir listesini alma, işlemlerin sonlandırılması, GPU kullanımını kontrol etme, indirme, yükleme, dosyaları silme, program yürütme gibi yaklaşık 50 komutu destekler.
Saldırgan, komutları bunları oluşturan ve gizleyen ve daha sonra bunları kötü amaçlı yazılımlara iletmek için aşağıdaki üç yöntemden birini kullanan bir UI aracı aracılığıyla oluşturabilir:
Aynı üç yöntem, tek dosyalar, tüm klasörler veya belirli dosya uzantılarını hedefleme dahil olmak üzere veri açığa çıkması için de kullanılabilir.
Mağdurun ülkesi Telegram'ı yasakladıysa, Coderat, blokları atlamaya yardımcı olabilecek ayrı bir istek yönlendirme kanalı oluşturan bir filtre önleyici işlevsellik sunar.
Yazar ayrıca, kötü amaçlı yazılımların Windows kayıt defterinde herhangi bir değişiklik yapmadan yeniden başlatmalar arasında devam edebileceğini iddia ediyor, ancak SafeBreach bu özellik hakkında herhangi bir ayrıntı sağlamıyor.
Coderat, diğer siber suçluları çekmesi muhtemel güçlü yeteneklerle birlikte gelir. Kötü amaçlı yazılım geliştiricileri her zaman kârlarını artıracak yeni bir "ürüne" kolayca dönüştürülebilen kötü amaçlı yazılım kodu arıyorlar.
Android Emulator Tedarik Zinciri Saldırısı, Oyuncuları Kötü Yazılımla Hedefliyor
Hacker, Küba fidye yazılımı saldırılarında yeni sıçan kötü amaçlı yazılım kullanıyor
Rus organizasyonları New Woody Rat Kötü Yazılımlarla Saldırdı
Bilgisayar korsanları, sahte rezervasyonları olan otel ve seyahat şirketlerini hedef
Çinli hackerlar yeni Kobalt grev benzeri saldırı çerçevesi kullanıyor
Kaynak: Bleeping Computer