TrickBot kötü amaçlı yazılım operatörleri, güvenlik yazılımının algılanmasını ve araştırmacılar tarafından analiz edilmeyi atlatmak için bir kurban sisteminin ekran çözünürlüğünü kontrol etmek için yeni bir yöntem kullanıyor.
Geçen yıl TrickBot çetesi. yeni bir özellik ekledi bir cihaz 800×600 ve 1024×768 standart olmayan ekran çözünürlükleri kullanıyorsa, bulaşma zincirini sonlandıran kötü amaçlı yazılımlarına.
Tehdit araştırmacıları tarafından tespit edilen yeni bir varyasyonda, doğrulama kodu potansiyel kurbana teslim edilen malspam’ın HTML ekine eklenmiştir.
Ödünç alınmış bir numara
Araştırmacılar genellikle belirli özelliklerle gelen sanal makinelerdeki kötü amaçlı yazılımları analiz eder – özellikle varsayılan yapılandırmalarda – çalışan hizmetler, makinenin adı, ağ kartı, CPU özellikleri ve ekran çözünürlüğü gibi.
Kötü amaçlı yazılım geliştiricileri bu özelliklerin farkındadır ve sanal makine olarak tanımlanan sistemlerde bulaşma sürecini durduran yöntemlerin uygulanmasından yararlanır.
Geçen yıl bulunan TrickBot kötü amaçlı yazılım örneklerinde, yürütülebilir dosya, üzerinde çalıştığı sistemin ekran çözünürlüğünü doğrulayan JavaScript kodunu içeriyordu.
Geçenlerde TheAnalyst – bir tehdit avcısı ve Cryptolaemus güvenlik araştırma grubunun bir üyesi, TrickBot malspam kampanyasından gelen HTML ekinin gerçek bir makinede sanal bir makineden farklı davrandığını buldu.
Ek, fiziksel bir sisteme kötü amaçlı bir ZIP arşivi indirdi, ancak sanal ortamda ABC’nin (American Broadcasting Company) web sitesine yönlendirildi.
Hedef HTML’yi web tarayıcılarında açarsa, kötü amaçlı komut dosyasının kodu çözülerek yük cihazlarına dağıtılır.
Eki taşıyan e-posta, bir HTML ekine eklenen ayrıntılarla birlikte sigorta satın almak için sahte bir uyarıydı.
Eki açmak, HTML dosyasını varsayılan web tarayıcısında başlattı, belgenin yüklenmesi için sabır isteyen bir ileti görüntüledi ve erişmek için bir parola sağladı.
Normal bir kullanıcının makinesinde, enfeksiyon zinciri, TheAnalyst tarafından yayınlanan aşağıdaki resimde görüldüğü gibi TrickBot yürütülebilir dosyasını içeren bir ZIP arşivini indirmeye devam edecektir:
Kötü amaçlı yazılımları bu şekilde indirmek, HTML kaçakçılığı. Bir tehdit aktörünün bir tarayıcının içerik filtrelerini atlamasına ve kodlanmış JavaScript’i bir HTML dosyasına dahil ederek hedef bilgisayara kötü amaçlı dosyaları gizlice sokmasına izin verir.
Bu TrickBot operatörlerinin bir yeniliği gibi görünse de, hile yeni değil ve kurbanları kimlik avı sitelerine çeken saldırılarda daha önce görüldü.
Güvenlik araştırmacısı MalwareHunterTeam, bu yıl Mart ayında sistemin ekran çözünürlüğünü kontrol etmek için kod içeren bir kimlik avı kiti buldu.
O zamandan beri, araştırmacı BleepingComputer’a, taktiğin çeşitli kimlik avı kampanyalarında birden çok kez kullanılmasını araştırmacılardan kaçınmak için bir araç olarak gördüğünü söyledi.
Komut dosyası, kimlik avı sayfasına gelen kullanıcının sanal makine mi yoksa fiziksel makine mi kullandığını, web tarayıcısının aşağıdaki gibi bir yazılım işleyicisi kullanıp kullanmadığını denetleyerek belirler. SwiftShader, LLVMpipeveya VirtualBox, genellikle sanal bir ortam anlamına gelir.
Yukarıda görüldüğü gibi, komut dosyası ayrıca ziyaretçinin ekranının renk derinliğinin 24 bitten az olup olmadığını veya ekran yüksekliğinin ve genişliğinin 100 pikselden az olup olmadığını kontrol eder.
TrickBot yukarıdakiyle aynı komut dosyasını kullanmıyor, ancak bir araştırmacının sanal alanı tespit etmek için aynı takteze güveniyor. Ancak, çetenin böyle bir senaryoyu bir HTML ekinde kullanması için bir prömiyerdir.
Bu aynı zamanda kötü amaçlı yazılım, kötü amaçlı yazılım yürütülebilir dosyayı sunan açılış sayfasında yapmak yerine ekran çözünürlüğü denetimi çalıştırmak için ilk kez bir ek kullanıyor olabilir.
Daha önce, kötü amaçlı yazılım, bir sanal makinenin göstergesi olan standart dışı ekran çözünürlükleri 800×600 ve 1024×768’i kontrol etti.