Kaydol

Flood göndermek, insanların floodlarını okumak ve diğer insanlarla bağlantı kurmak için sosyal Floodlar ve Flood Yanıtları Motorumuza kaydolun.

Oturum aç

Flood göndermek, insanların floodlarını okumak ve diğer insanlarla bağlantı kurmak için sosyal Floodlar ve Flood Yanıtları Motorumuza giriş yapın.

Şifremi hatırlamıyorum

Şifreni mi unuttun? Lütfen e-mail adresinizi giriniz. Bir bağlantı alacaksınız ve e-posta yoluyla yeni bir şifre oluşturacaksınız.

3 ve kadim dostu 1 olan sj'yi rakamla giriniz. ( 31 )

Üzgünüz, Flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Gizli yeni JavaScript kötü amaçlı yazılımı Windows PC’lere RAT’lerle bulaşıyor

Gizli yeni JavaScript kötü amaçlı yazılımı Windows PC’lere RAT’lerle bulaşıyor

Kötü Amaçlı Yazılım

RATDispenser adlı yeni bir gizli JavaScript yükleyicisi, kimlik avı saldırılarında cihazlara çeşitli uzaktan erişim truva atları (RAT’ ler) bulaştırmak için kullanılıyor.

Yeni yükleyici, hepsi bilgi çalmak ve oyunculara hedef cihazlar üzerinde kontrol sağlamak için tasarlanmış en az sekiz kötü amaçlı yazılım ailesiyle dağıtım ortaklıkları kurmakta gecikmedi.

HP Tehdit Araştırma ekibi tarafından analiz edilen vakaların %94’ında RATDispenser aktör kontrolündeki bir sunucuyla iletişim kurmaz ve yalnızca birinci aşama kötü amaçlı yazılım damlalık olarak kullanılır.

Yükleri bırakmak için Microsoft Office belgelerini kullanma eğilimine aykırı olan bu yükleyici, HP’nin düşük algılama oranlarına sahip olduğunu tespit ettiği JavaScript eklerini kullanır.

Enfeksiyon zinciri

Bulaşma, ‘ile adlandırılmış kötü amaçlı bir JavaScript eki içeren bir kimlik avı e-postasıyla başlar. TXT.js’ın çift uzatması. Gibi Windows uzantıları varsayılan olarak gizler, alıcı dosyayı bilgisayarına kaydederse, zararsız bir metin dosyası olarak görünür.

JS eki ile kimlik avı e-postası
JS eki ile kimlik avı e-postası
Kaynak: HP

Bu metin dosyası, güvenlik yazılımı tarafından algılamayı atlamak için yoğun bir şekilde karartılır ve dosya çift tıklatıldığında ve başlatıldığında kodu çözülür.

Başlatıldıktan sonra, yükleyici %TEMP% klasörüne bir VBScript dosyası yazar ve daha sonra kötü amaçlı yazılım (RAT) yükünü indirmek için yürütülür.

Deobfuscated komut satırı bağımsız değişkenleri
Deobfuscated komut satırı bağımsız değişkenleri
Kaynak: HP

Bu gizleme katmanları, VirusTotal tarama sonuçlarına dayanarak kötü amaçlı yazılımın algılamadan %89 oranında kaçmasına yardımcı olur.

“JavaScript, Microsoft Office belgelerinden ve arşivlerinden daha az yaygın bir kötü amaçlı yazılım dosya biçimi olmasına rağmen, çoğu durumda daha kötü algılanır. 155 RATDispenser numunesi setimizden, VirusTotal’da tespit oranlarını analiz etmemizi sağlayan 77 adet mevcuttu,” diye açıkladı. rapor HP tarafından.

“Her numunenin en erken tarama sonucu kullanılarak, ratdispenser örnekleri mevcut anti-virüs motorlarının sadece% 11’i veya mutlak sayılarda sekiz motor tarafından tespit edildi.”

Ancak, kuruluş .js, .exe, .bat, .com dosyaları gibi yürütülebilir eklerin engellenmesini etkinleştirdiyse, e-posta ağ geçitleri yükleyiciyi algılar.

Bulaşma zincirinin ortaya çıkmasını durdurmanın başka bir yolu da JS dosyaları için varsayılan dosya işleyicisini değiştirmek, yalnızca dijital olarak imzalanmış komut dosyalarının çalışmasına izin vermek veya WSH’yi (Windows Komut Dosyası Sistemi) devre dışı bırakmaktır.

Kötü amaçlı yazılımları bırakma

HP’nin araştırmacıları son üç ay içinde RATDispenser’dan sekiz farklı kötü amaçlı yazılım yükü almayı başardı.

Tanımlanan kötü amaçlı yazılım aileleri STRRAT, WSHRAT, AdWind, Formbook, Remcos, Panda Stealer, GuLoader ve Ratty’dir.

Analiz edilen 155 örnekten 10’unda, yükleyici ikinci aşama kötü amaçlı yazılımları getirmek için C2 iletişimi kurdu, bu yüzden bu nadir olsa da işlevsellik orada.

RATDispenser'ın kötü amaçlı yazılım yükleme işlemi
RATDispenser’ın kötü amaçlı yazılım yükleme işlemi
Kaynak: HP

Kötü amaçlı yazılım bırakma vakalarının% 81’inde RATDispenser, iki güçlü kimlik bilgisi hırsızı ve keylogger olan STRRAT ve WSHRAT’ı (diğer adıyla “Houdini) dağıtır.

Panda Stealer ve Formbook, düşmek yerine her zaman indirilen tek iki yük.

Genel olarak, RATDispenser, tüm beceri seviyelerindeki tehdit aktörleri için çok yönlü bir yükleyici olarak hizmet veren hem eski hem de yeni kötü amaçlı yazılımların dağıtımını barındırıyor gibi görünmektedir.

Benzer Yazılar

Yorum eklemek için giriş yapmalısınız.