Microsoft, saldırganların WhatsApp mesajlarında Visual Basic Komut Dosyası (VBS) dosyaları gönderdiği bir kötü amaçlı yazılım kampanyası gözlemledi. Kurbanların bunu gerçekleştirmesi durumunda çok katmanlı bir enfeksiyon zinciri tetikleniyor ve bunun sonucunda saldırganlar uzaktan erişim elde ederek sisteme yerleşiyor. Kötü niyetli komut dosyalarının herhangi bir sapma olmaksızın yürütülebilmesi nedeniyle, Windows'ta WhatsApp'ın masaüstü sürümünü kullanan kullanıcılar özellikle risk altındadır.
Duyurudan sonra devamını okuyun
Microsoft Defender güvenlik ekibi bir blog gönderisinde Şubat ayı sonlarında başlayan bu kampanya hakkında uyarıda bulunuyor. Saldırganlar bu amaçla sosyal mühendisliğe ve sözde “toprak dışında yaşama” tekniklerine (“LOLbins” kısaltmasıyla da bilinir) güvenirler, yani saldırı için işletim sistemi tarafından sağlanan yürütülebilir dosyaları kullanırlar. MSI (Microsoft Installer) formatında yüklenen kötü amaçlı yazılım sonuçta buluttan gelir.
Saldırı zincirine giriş noktası olarak WhatsApp
Bilgisayar adli tıp uzmanları, gözlemlenen mesajlara örnek vermiyor ancak kötü amaçlı VBS dosyalarının kurbanlara WhatsApp mesajı olarak ulaştığını ve bu nedenle tanınmış iletişim platformuna olan güvenin suistimal edildiğini açıklıyor. Betik yürütüldüğünde “C:ProgramData” içinde gizli klasörler oluşturur ve “curl.exe” – “netapi.dll” olarak yeniden adlandırıldı – veya “bitsadmin.exe” gibi meşru Windows araçlarının yeniden adlandırılmış sürümlerini “sc.exe” olarak saklar.
Bir sonraki aşamada kötü amaçlı yazılım, AWS S3, Tencent Cloud veya Backblaze B2 gibi genellikle güvenilir olarak sınıflandırılan bulut depolama sistemlerinden “auxs.vbs” ve “WinUpdate_KB5034231.vbs” gibi ek indiricileri indirmek için yeniden adlandırılan ikili dosyaları kullanır. Microsoft çalışanları, bunun kötü amaçlı etkinliği meşru ağ trafiği olarak maskelediğini açıklıyor.
Kötü amaçlı yazılım indirildikten sonra, Kullanıcı Hesabı Denetimi istemlerini devre dışı bırakarak Windows sistem savunmasını zayıflatmak için Kullanıcı Hesabı Denetimi ayarlarını değiştirir. Yükseltme çalışana veya işlem zorla durdurulana kadar cmd.exe istemini yükseltilmiş ayrıcalıklarla tekrar tekrar başlatın. “HKLMSoftwareMicrosoftWin” dosyasındaki kayıt defteri girişlerini değiştirerek, kötü amaçlı kod sabitlenir ve yeniden başlatma sonrasında kalıcılığa ulaşır.
Sonraki son adım, Setup.msi, WinRAR.msi, LinkPoint.msi ve AnyDesk.msi gibi adlara sahip imzasız MSI yükleyicilerini yeniden yükler. Analistler, bunların arasında AnyDesk gibi uzaktan kontrol yazılımlarının da bulunduğunu ve saldırganların verileri sızdırmak için uzun süreli uzaktan erişime, ek kötü amaçlı yazılım yüklemeye veya tehlikeye atılmış makineleri daha büyük bir virüslü cihaz ağının parçası olarak kötüye kullanmalarına olanak tanıdığını söylüyor. Özellikle kurumsal ortamlarda, bu MSI yükleyicileri tipik yazılım yönetimi uygulamalarıdır ve radarın altında kalmaları kaçınılmazdır.
İlgili taraflar analizde BT yöneticilerinin ağlarını bu tür saldırılara karşı nasıl koruyabilecekleri konusunda ipuçları ve tavsiyeler bulacaklar. Bu, uç noktalarda komut dosyası barındıran ana bilgisayarların engellenmesini veya bulut trafiğinin izlenmesini ve aynı zamanda çalışanların farkındalığının artırılmasını da içerir.
Duyurudan sonra devamını okuyun
Popüler habercilerin kullanıcıları, özellikle de önde gelen şahsiyetler veya üst düzey yetkililer ve politikacılar, son zamanlarda sıklıkla saldırganların hedefi oluyor. Geçen yılın sonlarında siber suçlular, potansiyel kurbanların mesajlaşma uygulamalarına erişmeye ve bunları gözetlemeye çalışmak için gelişmiş sosyal mühendislik taktikleri kullandı. Bu nedenle yabancılardan gelen mesajlarla ilgilenirken özellikle dikkatli olunmalıdır.
(Bilmiyorum)
Bir yanıt yazın