Microsoft, saldırganların WhatsApp mesajlarında VBS (Visual Basic Script) dosyaları gönderdiği bir kötü amaçlı yazılım kampanyası gözlemledi. Kurbanların bunu gerçekleştirmesi çok aşamalı bir enfeksiyon zincirini tetikliyor ve bunun sonunda saldırganlar uzaktan erişim elde edip sisteme yerleşiyor. Windows'ta WhatsApp masaüstü sürümünü kullanan kullanıcılar özellikle risk altındadır, çünkü kötü amaçlı komut dosyaları orada herhangi bir yoldan sapmadan yürütülebilir.
Reklamdan sonra devamını okuyun
Microsoft Defender güvenlik ekibi bir blog yazısında Şubat ayının sonunda başlayan bu kampanya hakkında uyarıda bulunuyor. Saldırganlar bunu yapmak için sosyal mühendisliğe ve sözde “toprak dışında yaşama” tekniklerine (“LOLbins” kısaltmasıyla da bilinir) güveniyorlar; yani saldırı için işletim sistemi tarafından sağlanan yürütülebilir dosyaları kullanıyorlar. MSI (Microsoft Installer) formatında yüklenen kötü amaçlı yazılım sonuçta buluttan gelir.
Saldırı zincirinde giriş noktası olarak WhatsApp
BT adli tıp uzmanları, gözlemlenen mesajlara herhangi bir örnek vermiyor ancak kötü amaçlı VBS dosyalarının kurbanların eline WhatsApp mesajı olarak ulaştığını ve bu nedenle bilinen iletişim platformuna olan güvenin suistimal edildiğini açıklıyor. Çalıştırıldığında, komut dosyası “C:ProgramData” altında gizli klasörler oluşturur ve “curl.exe” – “netapi.dll” olarak yeniden adlandırıldı – veya “bitsadmin.exe” gibi meşru Windows araçlarının yeniden adlandırılmış sürümlerini “sc.exe” olarak saklar.
Bir sonraki adımda kötü amaçlı yazılım, AWS S3, Tencent Cloud veya Backblaze B2 gibi genellikle güvenilir olarak sınıflandırılan bulut depolama sistemlerinden “auxs.vbs” ve “WinUpdate_KB5034231.vbs” gibi ek indiricileri indirmek için yeniden adlandırılan ikili dosyaları kullanır. Microsoft çalışanları, bunun kötü amaçlı etkinliği meşru ağ trafiği olarak gizlediğini açıklıyor.
Kötü amaçlı yazılım indirildikten sonra, UAC istemlerini devre dışı bırakarak Windows sisteminin savunmasını zayıflatmak için Kullanıcı Hesabı Denetimi ayarlarını değiştirir. Yükseltme çalışana veya işlem zorla sonlandırılana kadar yükseltilmiş cmd.exe istemini tekrar tekrar başlatır. “HKLMSoftwareMicrosoftWin” altındaki kayıt defteri girişlerini değiştirerek, kötü amaçlı kod sabit hale gelir ve yeniden başlatmalar boyunca kalıcılık elde eder.
Sonraki son aşamada, Setup.msi, WinRAR.msi, LinkPoint.msi ve AnyDesk.msi gibi adlara sahip imzasız MSI yükleyicileri yeniden yüklenir. Analistler, bunların arasında AnyDesk gibi uzaktan kontrol yazılımlarının da bulunduğunu ve saldırganların verilere sızmak, ek kötü amaçlı yazılım yüklemek veya ele geçirilen makineleri daha büyük bir virüslü cihaz ağının parçası olarak kötüye kullanmak için sürekli uzaktan erişime izin verdiğini söylüyor. Özellikle kurumsal ortamlarda, bu tür MSI yükleyicileri yazılım yönetimi için tipiktir ve radarın altında kalmaları amaçlanır.
İlgilenenler, analizde BT yöneticilerinin ağlarını bu tür saldırılardan nasıl koruyabilecekleri konusunda ipuçları ve tavsiyeler bulacaklar. Bu, uç noktalarda komut dosyası barındıran ana bilgisayarların engellenmesini veya bulut trafiğinin izlenmesini ve aynı zamanda çalışanların farkındalığının artırılmasını içerir.
Reklamdan sonra devamını okuyun
Popüler habercilerin kullanıcıları, özellikle de önde gelen şahsiyetler veya üst düzey yetkililer ve politikacılar, son zamanlarda sıklıkla saldırganların hedefi oluyor. Geçen yılın sonlarında siber suçlular, potansiyel kurbanların mesajlaşma uygulamalarına erişim sağlamak ve onları gözetlemek için gelişmiş sosyal mühendislik taktikleri kullandı. Bu nedenle yabancılardan gelen mesajlara özellikle dikkat edilmelidir.
(DMK)
Bir yanıt yazın