Uzmanlar, kötü niyetli truva atı kötü amaçlı yazılımlarını dağıtmak için Excel elektronik tablolarını kötüye kullanan yeni bir siber suç kampanyasını ortaya çıkardı.
Morphisec Labs’den siber güvenlik araştırmacıları, Rus tehdit aktörü FIN7’yi (aka Carbanak), postayla gönderilen XLL ve XLM dosyaları aracılığıyla JSSLoader’ın bir çeşidi olan küçük, hafif bir Uzaktan Erişim Truva Atı (RAT) dağıtırken tespit etti.
Bu dosyalar, saldırganların verileri sızdırmasına, hedef uç noktada kalıcılık oluşturmasına ve diğer şeylerin yanı sıra RAT’ın otomatik güncellemeler gerçekleştirmesine olanak tanıyan silahlaştırılmış eklentiler taşır.
Bu özel RAT, Aralık 2020’den beri var. Ancak bu kampanyada, saldırganlar imzasız bir dosya dağıtmaya çalışıyorlar, yani Excel, dosyayı çalıştırmanın risklerle birlikte geldiğine dair açık bir uyarı gösterecek.
Araştırmacılar, kurbanın etkinleştirmesi durumunda bu XLL dosyalarının xlAutoOpen işlevinde bulunan kötü amaçlı kodu kullandığını, kendilerini belleğe yüklediklerini ve ardından uzak bir sunucudan ikinci aşama kötü amaçlı yazılımı indirdiklerini açıklıyor.
Bundan sonra, süreci çalıştırmak için bir API çağrısı kullanırlar.
Aynı yürütme akışına sahip olmasına rağmen, bu JSSLoader varyantı, antivirüs ve diğer güvenlik çözümlerinin radarının altında kalmak amacıyla tüm işlevleri ve değişkenleri yeniden adlandırma yeteneğine sahip olduğundan, eskilerinden biraz farklıdır.
Ayrıca dize tabanlı YARA kuralları tarafından algılanmaktan kaçınmak için dizeleri alt dizelere böler ve çalışma zamanında zincirler.
Morphisec, yükün teslim edilme şekliyle birlikte bu yeni algılamadan kaçınma yöntemlerinin, RAT’ın çoğu antivirüs ve uç nokta koruma çözümünün görüş alanının dışında kalması için yeterli olduğunu ekledi.
Şirket, FIN7’nin, tespit edilmeden önce günler, hatta haftalar boyunca, güvenliği ihlal edilmiş ağ boyunca kesintisiz yanal hareket için kullanabileceğini söyledi.
Tehdit aktörü, yakın zamanda Ocak 2022’de kurbanlara kötü amaçlı flash sürücüler gönderdiği tespit edildiğinde manşetlere çıkan nispeten yaratıcı bir suç grubudur.
Üzerinden: BleeBilgisayar