Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Ursnif kötü amaçlı yazılımı banka hesabı hırsızlığından ilk erişime geçiyor


Ursnif kötü amaçlı yazılımı banka hesabı hırsızlığından ilk erişime geçiyor

Ursnif kötü amaçlı yazılımının (aka Gozi) yeni bir sürümü, tipik bankacılık truva atı işlevinden arındırılmış genel bir arka kapı olarak ortaya çıktı.

Bu değişiklik, yeni sürümün operatörlerinin fidye yazılımı dağıtmaya odaklandığını gösterebilir.

Kod adı “LDR4” olan yeni varyant 23 Haziran 2022’de olay müdahale şirketindeki araştırmacılar tarafından fark edildi. Mandiantgeçen yıllarda kötü amaçlı yazılımın RM3 sürümünü koruyan aynı aktörler tarafından dağıtıldığına inanan.

Yıllar içinde ortaya çıkan çeşitli Ursnif varyantları
Yıllar içinde ortaya çıkan çeşitli Ursnif varyantları (Mandiant)

Yeni Ursnif kampanyası

Ursnif LDR4 varyantı, meşru bir şirketin kimliğine bürünen bir web sitesine bağlantı içeren sahte iş teklifi e-postaları aracılığıyla gönderilir.

İşe alım uzmanı rolü yapma taktiği Ursnif çetesi için yeni değil. bu stratejiyi daha önce kullandı.

Kötü amaçlı sitenin ziyaretçilerinden, kötü amaçlı yazılım yükünü uzak bir kaynaktan alan makro kodlu bir Excel belgesi indirmek için bir CAPTCHA sorununu çözmeleri istenir.

Geçerli kampanyada kullanılan kötü amaçlı Excel belgesi
Mevcut kampanyada kullanılan kötü amaçlı Excel belgesi (Mandiant)

LDR4 varyantı DLL biçiminde (“loader.dll”) gelir ve taşınabilir yürütülebilir şifreleyiciler tarafından paketlenir ve geçerli sertifikalarla imzalanır. Bu, sistemdeki güvenlik araçlarından algılamadan kaçmasına yardımcı olur.

Mandiant’ın LDR4’ü inceleyen analistleri, tüm bankacılık özelliklerinin yeni Ursnif varyantından kaldırıldığını ve kodunun temizlenip basitleştirildiğini fark etti.

arka kapı dönemi

Yürütülmesi üzerine, yeni Ursnif, Windows kayıt defterinden sistem hizmeti verilerini toplar ve bir kullanıcı ve bir sistem kimliği oluşturur.

Ardından, yapılandırma dosyasında bulunan bir RSA anahtarını kullanarak komuta ve kontrol sunucusuna bağlanır. Ardından, ana bilgisayarda yürütülecek komutların bir listesini almaya çalışır.

Ursnif tarafından C2 sunucusuna gönderilen kalp atışı
Ursnif tarafından C2 sunucusuna gönderilen POST isteği (Mandiant)

LDR4 varyantı tarafından desteklenen komutlar şunlardır:

  • Geçerli işleme bir DLL modülü yükleyin
  • cmd.exe ters kabuğunun durumunu alın
  • cmd.exe ters kabuğunu başlatın
  • Cmd.exe ters kabuğunu durdurun
  • cmd.exe ters kabuğunu yeniden başlatın
  • İsteğe bağlı bir komut çalıştırın
  • sonlandırmak

Bir ters kabuk oluşturmak için uzak bir IP adresi kullanan yerleşik komut kabuğu sistemi yeni değil, ancak şimdi önceki varyantlarda olduğu gibi ek bir modül kullanmak yerine kötü amaçlı yazılım ikili dosyasına yerleştirildi.

Mevcut işleme bir DLL modülü yükleme komutu, kötü amaçlı yazılımın yeteneklerini gerektiği gibi genişletebileceğinden, eklenti sistemi de ortadan kaldırılmıştır.

Mandiant tarafından görülen bir örnek, LDR4’e güvenliği ihlal edilmiş sistemlerde “uygulamalı” saldırılar gerçekleştirme yeteneği veren VNC (sanal ağ bilgi işlem) modülüdür (“vnc64_1.dll”).

En son sürümle, Ursnif LDR4 operatörleri, diğer kötü amaçlı yazılımlara kapı açan bir ilk güvenlik ihlali aracı olan daha spesifik bir görev için kodu iyileştirmiş görünüyor.

Mandiant, araştırmacıların bir yeraltı hacker topluluğunda fidye yazılımını ve Ursnif’in RM3 sürümünü dağıtmak için ortaklar arayan bir tehdit aktörü belirledikleri için, geliştiricilerin muhtemelen fidye yazılımı operasyonlarının yöneldiği yön olduğunu belirtiyor.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.