Yeni Gizli Remcos Kötü Amaçlı Yazılım Kampanyaları İşletmeleri ve Okulları Hedef Alıyor
Forcepoint'in X-Labs'ı, tehlikeye atılmış hesaplardan gelen yeni aldatıcı kimlik avı e-postaları ve sistemlere sızmak, kimlik bilgilerini çalmak ve uzun vadeli kontrolü sürdürmek için yol atlama gibi gelişmiş kaçınma tekniklerini kullanan Remcos kötü amaçlı yazılımını ortaya çıkarıyor. İşaretleri nasıl tespit edeceğinizi öğrenin.
Forcepoint'in X-Labs'ındaki siber güvenlik uzmanları, güvenlik önlemlerini atlatmak ve enfekte olmuş bilgisayarlarda gizli bir varlık sürdürmek için sürekli olarak adapte olan karmaşık bir tehdit olan Remcos kötü amaçlı yazılımının devam eden etkinliği konusunda uyarıyor. Genellikle ikna edici kimlik avı saldırıları yoluyla iletilen bu kötü amaçlı yazılım, saldırganların uzun vadeli erişim kurmasına olanak tanır.
Hackread.com ile paylaşılan blog yazısında araştırmacılar, 2024-2025 yılları arasında gözlemlenen kampanyaların, Remcos zararlı yazılımının son derece aktif kaldığını ve gizli kalmak için sürekli olarak adapte olduğunu gösterdiğini belirtti.
İlk enfeksiyon genellikle küçük işletmelerin veya okulların ele geçirilmiş hesaplarından kaynaklanan aldatıcı bir e-postayla başlar. Bunlar, e-postaların güvenilir görünmesini ve şüpheli olarak işaretlenme olasılığının daha düşük olmasını sağlayan hacklenmiş meşru hesaplardır.
Bu e-postalar, sıkıştırılmış arşiv eklerinin içinde gizlenmiş ve gizlenmiş kötü amaçlı Windows kısayol (.LNK) dosyaları taşır. Bir kullanıcı bu hileye kanıp kötü amaçlı dosyayı açtığında, Remcos sessizce kendini kurar ve kurbanın bilgisayarında gizli klasörler oluşturur.
Bu klasörleri özellikle zor hale getiren şey, bunların "yolları \\? ile öneklemek gibi yol ayrıştırma atlama tekniklerini kullanarak sahte Windows dizinleri" olmasıdır. Özel bir NT Nesne Yöneticisi yol öneki kullanmayı içeren bu teknik, kötü amaçlı yazılımın C:\Windows\SysWOW64 gibi meşru sistem dizinlerini taklit etmesine olanak tanır ve bu da güvenlik araçlarının bunları tespit etmesini inanılmaz derecede zorlaştırır.
İlk kurulumdan sonra, Remcos algılanmadan sistemde uzun süre kalmanın yollarını ayarlar. Bunu, zamanlanmış görevler ve diğer gizli yöntemler oluşturarak, saldırganlar için bir arka kapıyı açık tutabildiğinden emin olarak başarır. Kötü amaçlı yazılım, bir kayıt defteri ayarını değiştirerek Windows'un Kullanıcı Hesabı Denetimi'ni (UAC) zayıflatmaya bile çalışır ve bu sayede olağan güvenli istemler olmadan daha yüksek ayrıcalıklarla çalışmasına izin verir.
Kötü amaçlı LNK dosyalarının kendisi, Base64 biçiminde yürütülebilir bir program içeren bir .dat dosyasını indiren gizli PowerShell kodu içerir; Base64, kötü amaçlı yazılımlar tarafından tespit edilmeyi atlatmak için sıklıkla kullanılan, verileri normal metin gibi gösterecek şekilde kodlama yöntemidir.
Bu dosya daha sonra, tipik olarak bir PDF simgesiyle gizlenmiş ancak alışılmadık ve nadiren kullanılan bir kısayol dosya türü olan .pif uzantısını kullanan yürütülebilir bir programa dönüştürülür. Bu yürütülebilir dosya daha sonra kendisinin kopyalarını, bir .URL kısayol dosyasını ve özel semboller ve anlamsız yabancı metinler içeren dört adet aşırı gizlenmiş toplu iş dosyasını oluşturur; hepsi antivirüs algılamasını atlatmak için tasarlanmıştır.
Remcos tam olarak faaliyete geçtiğinde saldırganlara tam kontrol sağlıyor ve şifreleri çalmalarına, ekran görüntüleri almalarına, dosyaları kopyalamalarına ve hedeflemelerini iyileştirmek için internet bağlantısı, sistem dili ve ülke kodlarını kontrol etme dahil olmak üzere kullanıcı etkinliğini izlemelerine olanak tanıyor.
Kuruluşların ve bireylerin, Remcos enfeksiyonunun göstergeleri olabilecek alışılmadık kısayollara, garip dosya yollarına ve klasör adlarındaki değişikliklere karşı dikkatli olmaları önemle rica olunur.
HackRead
