Kötü Amaçlı Yazılım Sağlayan ISO E-posta Ekleri

Kötü amaçlı spam kampanyalarını analiz eden güvenlik araştırmacıları, disk görüntü dosyası formatlarında kötü amaçlı yazılım yayınlamada bir artış fark ettiler. Bunlardan ISO en yaygın olanıdır. Siber suçlular bu tür dosyaları yıllardır kullanıyor, ancak Trustwave’deki araştırmacılar bu yıl kötü niyetli ISO’da bir artış gözlemlediklerini söylüyor.

Arşiv benzeri bir kap görevi gören bir disk görüntüsü, genellikle orijinaliyle aynı dosya yapısıyla düzenlenmiş verilere erişmek için sanal disk olarak monte edilebilen bir fiziksel sürücünün klonudur. Bu şekilde sunulan en popüler tehditler arasında uzaktan erişim araçları (NanoCore, Remcos) ve LokiBot bilgi vapuru bulunmaktadır.

Çoğu güvenli e-posta ağ geçidi yürütülebilir dosyaları ve kötü amaçlı bir zararIı içeren ISO dosyalarını buna rağmen 2019’da görülen kötü niyetli eklerde %6 artış görülmüştür. 

Kötü amaçlı yazılım sağlamak için ISO’yu seçmek mantıklıdır çünkü Windows işletim sistemi çift tıklandığında bu dosya türünü bağlama yeteneğine sahiptir. Bu dolandırıcıların tehdidi masum bir dosya olarak gizlemelerine olanak tanır.

Trustwave tarafından yakalanan son siber suç organizasyonunda siber suçlular, alıcıları yürütülebilir bir dosya içeren kötü amaçlı bir ISO’yu indirmeleri için sahte bir FedEx gönderi e-posta iletisi oluşturdu.

Yukarıdaki resimde görüldüğü gibi, bağlantı PDF olarak görünmeye çalışan bir ISO dosyasına işaret ediyor. ISO görüntüsünün içinde NanoCore RAT için bir yürütülebilir dosya tespit edildi.

Bu zararlı VirusTotal’daki 70 antivirüs motorundan 18’i tarafından kötü amaçlı olarak işaretlendi. NanoCore yeni bir kötü amaçlı yazılım değildir ve normalde algılanması kolaydır ancak bu şekilde paketlenmesi tespit edilme oranını azaltmıştır.

Hedefli bir saldırı olup olmadığı belli değil ancak FedEx ile bir paket gönderen herkes muhtemelen sahte PDF’deki ayrıntıları okumaya çalışacaktı. ISO bu şekilde kötüye kullanılan tek görüntü dosyası değildi. Hedefe yönelik bir saldırı yapan siber suçlular, DAA (Doğrudan Erişim Arşivi) biçiminde ekli fatura temalı e-postalar gönderdi.

Bu durumda yük(payload), siber suçlu faaliyetlerinde kullanıldığı bilinen Remcos adlı başka bir uzaktan erişim aracının profesyonel versiyonuydu. ISO’dan farklı olarak DAA görüntü türünün monte edilmesi ve içindeki dosyalara ulaşılması için özel bir yazılıma ihtiyacı vardır bu da dolandırıcıların hedefin bilgisayarın gerekli uygulamanın yüklü olduğunu bildiklerini gösterir. Trustwave’e göre bu organizasyondaki DAA görüntüleri, araştırmacıların Remcos RAT v2.5.0 Pro olduğunu belirledikleri .COM veya .EXE uzantılı tek bir yürütülebilir dosya içeriyordu.

Bu yılki gözlemlere dayanarak Trustwave, siber suçluların kötü amaçlı yazılımlarını geçmiş güvenlik çözümlerini geçecek şekilde gizlemek için disk görüntü arşivleriyle daha fazla deneme yapmaya başladığına inanıyor.

Bir cevap yazın

Tüm hakları saklıdır © 2018 Design: Emre Önal
WhatsApp chat