Siber güvenlik araştırmacıları, ölümcül kötü amaçlı yazılımları dağıtan başka bir sahte iş kampanyası keşfetti.
Önceki sürümlerin aksine, bu sürüm olağan bankacılık truva atı işlevlerini taşımamaktadır ve bu da araştırmacıları kötü amaçlı yazılımın fidye yazılımı dağıtmak için değiştirildiğini tahmin etmeye sevk etmektedir.
LinkedIn’de sahte iş teklifleri
Mandiant, Haziran 2022’nin sonlarında tespit ettikten sonra bu sürüme LDR4 adını verdi. Kötü amaçlı yazılımı dağıtmak için tehdit aktörleri, büyük şirketler için işe alım görevlisi gibi görünen sahte LinkedIn hesapları oluşturuyor. Hedeflerine ulaştıktan ve biraz meşruiyet sağlamak için bir sohbete girdikten sonra bir bağlantı paylaşırlar.
Bağlantılı web sitesi daha sonra kurbanlardan, konum hakkında daha fazla ayrıntı sunduğunu iddia eden, ancak aslında kötü amaçlı yazılımı uzak bir konumdan alan kötü amaçlı bir makro taşıyan bir Excel belgesini indirmek için bir CAPTCHA sorununu çözmesini talep ediyor.
LDR4, bir .DLL dosyası (loader.dll) biçiminde geldiğinden, taşınabilir yürütülebilir şifreleyicilerle paketlendiğinden ve geçerli sertifikalarla imzalandığından, bazı virüsten koruma yazılımlarının algılanmasından kaçınır. (yeni sekmede açılır) Çözümler, araştırmacılar uyardı.
.DLL dosyası çalıştığında, Windows kayıt defterinden sistem hizmeti verilerini toplar ve bir kullanıcı ve sistem kimliği oluşturur. Ayrıca, yürütmesi gereken komutların listesini almak için kötü amaçlı yazılımın komut ve kontrol sunucusuna (C2) bağlanır.
Şu anda, araştırmacılar Ursnif’in son oyununu %100 doğrulayamıyorlar, ancak bir tehdit aktörünün, ortaklardan fidye yazılımını ve Ursnif’in RM3 sürümünü yer altı bilgisayar korsanlığı forumları aracılığıyla dağıtmalarını istediği iddia edildiğine dikkat çektiler.
Ursnif’i en son Ocak 2022’de HP Wolf Security, silahlaştırılmış Excel dosyaları aracılığıyla İtalyanca konuşan kullanıcılar arasında dağıtıldığını gözlemlediğinde duyduk.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)