Yeni Saldırı, REMCOS Arka Kapısını Yüklemek İçin Windows Kısayol Dosyalarını Kullanıyor

Güvenlik firması Point Wild'ın Lat61 Tehdit İstihbarat ekibi, yeni ve aldatıcı, çok aşamalı bir kötü amaçlı yazılım saldırısı tespit etti. Saldırı, kötü amaçlı Windows Kısayolu (LNK) dosyalarını, yani bir program veya dosyaya basit bir işaretçiyi kullanarak, REMCOS olarak bilinen tehlikeli bir uzaktan erişim trojanını (RAT) yaymak için akıllıca bir teknik kullanıyor.

Point Wild'ın CTO'su Dr. Zulfikar Ramzan liderliğinde yürütülen ve Hackread.com ile paylaşılan araştırma , kampanyanın görünüşte zararsız bir kısayol dosyasıyla başladığını, muhtemelen bir e-postaya eklendiğini ve dosya adının " ORDINE-DI-ACQUIST-7263535 " gibi olduğunu ortaya koyuyor.

Kullanıcı üzerine tıkladığında, LNK dosyası arka planda gizlice bir PowerShell komutu çalıştırır. Bilginize, PowerShell , Windows'un görev otomasyonu için kullandığı güçlü bir komut satırı aracıdır; ancak bu saldırıda, gizli bir yükü indirmek/kodunu çözmek için kullanılır.

Bu komut, güvenlik uyarılarını tetiklemeden, herhangi bir dosyayı kaydetmeden veya makro kullanmadan gizli bir yükü indirip çözmek için tasarlanmıştır. Araştırma, tespite yardımcı olmak için bu LNK dosyası için MD5: ae8066bd5a66ce22f6a91bd935d4eee6 dahil olmak üzere belirli dosya karmaları sağlar.

Bu kampanya, birkaç farklı kılık değiştirme katmanı kullanarak gizli kalacak şekilde tasarlanmıştır. İlk PowerShell komutu çalıştırıldıktan sonra, uzak bir sunucudan Base64 kodlu bir yük alır. Bu, kötü amaçlı kodu görünürde gizlemenin yaygın bir yoludur, çünkü Base64, ikili verileri metne kodlamak için standart bir yöntemdir.

Yük indirilip kodu çözüldükten sonra, eski programlar için sıklıkla kullanılan bir yürütülebilir dosya türü olan Program Bilgi Dosyası veya .PIF dosyası olarak başlatılır. Saldırganlar, bu dosyayı meşru bir programı taklit eden CHROME.PIF dosyası olarak gizlediler.

Bu son adım, saldırganlara ele geçirilen sistem üzerinde tam kontrol sağlayan REMCOS arka kapısını kurar. Kötü amaçlı yazılım ayrıca %ProgramData% dizini altındaki yeni bir Remcos klasöründe tuş vuruşu kaydı için bir günlük dosyası oluşturarak sistemde kalıcılığını da sağlar.

REMCOS arka kapısı kurulduktan sonra saldırganlara kurbanın bilgisayarı üzerinde kapsamlı kontrol sağlıyor. Tehdit istihbarat raporu, bu arka kapının şifreleri çalmak için tuş kaydı tutma , doğrudan erişim için uzak bir kabuk oluşturma ve dosyalara erişim sağlama gibi çok çeşitli kötü amaçlı faaliyetler gerçekleştirebileceğini belirtiyor.

Ayrıca, REMCOS arka kapısı, saldırganların bilgisayarın web kamerasını ve mikrofonunu kontrol ederek kullanıcıyı gözetlemelerine olanak tanıyor. Araştırma ayrıca, bu özel saldırının komuta ve kontrol (C2) altyapısının Romanya ve ABD'de barındırıldığını ortaya koydu.

Bu bulgu, bu saldırıların dünyanın herhangi bir yerinden kaynaklanabileceği için dikkatli olunması gerektiğini vurguluyor. Araştırmacılar, kullanıcıların güvenilmeyen kaynaklardan gelen kısayol dosyalarına karşı dikkatli olmalarını, ekleri açmadan önce iki kez kontrol etmelerini ve gerçek zamanlı koruma sağlayan güncel bir antivirüs yazılımı kullanmalarını öneriyor.