Nöbetçi Eczaneler
Fortinet’in FortiGuard Labs ekibi tarafından keşfedilen yeni bir phishing kampanyası, Microsoft Windows kullanıcılarını hedef alarak Remcos RAT (Uzaktan Erişim Truva Atı) varyantını yaymak için Microsoft Excel dosyalarını kullanıyor. Bu saldırı yöntemi, kurbanları sahte bir sipariş bildirimi içeren e-posta eklerini açmaya teşvik ediyor. Eklenti açıldığında, 2017’de tespit edilen ve Microsoft Office ile WordPad yazılımlarını hedef alan CVE-2017-0199 güvenlik açığı, zararlı bir HTML Uygulaması (HTA) dosyasının indirilip çalıştırılması için kullanılıyor.
bdosyası, JavaScript, VBScript, Base64 ve PowerShell gibi birden fazla dilde kodlanarak karmaşık bir yapıya sahip. Dosya, zararlı bir “dllhost.exe” dosyasını indirip çalıştırarak Remcos RAT’ın sisteme kurulmasını sağlıyor. Kurulum sonrası, malware sistemin kayıt defterini değiştirerek her yeniden başlatıldığında aktif olacak şekilde kendini kalıcı hale getiriyor.
Remcos RAT, komut kontrol sunucusuna bağlanarak enfekte sistemin kullanıcı, ağ ve donanım bilgilerini iletip, çeşitli komutlar alabiliyor. Bu komutlar arasında bilgi toplama, dosya işlemleri, uzaktan kod yürütme, ekran görüntüsü alma ve kamera kullanımı bulunuyor. Saldırı yöntemi ayrıca, statik analizleri zorlaştırmak için çeşitli güvenlik önlemlerine karşı savunmalar barındırıyor ve hata ayıklayıcıları devre dışı bırakmak için gelişmiş teknikler kullanıyor.
Kendisini saptanamaz hale getirmek için “process hollowing” yöntemi kullanarak, zararsız görünen bir uygulama olan “Vaccinerende.exe” dosyasını yaratıp bu dosya aracılığıyla zararlı kodunu sistemde saklıyor.
Kendinizi Nasıl Koruyabilirsiniz: Bu tür saldırılardan korunmak için, e-postalardaki bağlantılara veya ekli dosyalara dikkatli yaklaşılması, güvenlik yazılımlarının güncel tutulması, ve gelen dosyalardaki gömülü zararlı öğeleri silmeye yönelik güvenlik hizmetlerinin kullanılması öneriliyor.
CUMHA – CUMHUR HABER AJANSI