Snake Keylogger yazılımının yeni varyantı, Çin, Türkiye, Endonezya, Tayvan ve İspanya gibi ülkelerde aktif kullanılıyor. Bu bağlamda, yazılım Windows kullanıcılarını hedef alıyor.
Fortinet FortiGuard Labs’e göre, yeni sürüm yılın başından şimdiye dek küreselde 280 milyondan fazla girişimden sorumludur. Buna geçiş olarak, bu veriler, zararlı yazılımın küresel etkisini gözler önüne seriyor.
Siber güvenlik araştırmacısı Kevin Su, “Snake Keylogger, kimlik avı e-postalarıyla yayılmaktadır. Bu yazılım, popüler web tarayıcılarında tuş vuruşlarını kaydeder, kimlik bilgilerini çalar ve panoyu izler. Ayrıca, zararlı yazılım çalınan bilgileri SMTP ve Telegram botlarıyla saldırganlara gönderir. Sonuç olarak, tehdit aktörleri ele geçirilen kimlik bilgilerine ve diğer hassas verilere erişebilmektedir.
AutoIt Kullanarak Geleneksel Güvenlik Önlemlerini Atlatıyor
Son saldırılarda dikkat çeken nokta, zararlı yazılımın yüklenmesi ve çalıştırılması için AutoIt betik dilinin kullanılmasıdır. Başka bir deyişle, zararlı yazılım içeren yürütülebilir dosya, AutoIt ile derlenmiş bir ikili dosyadır. Bu da geleneksel tespit mekanizmalarını atlatmasını sağlar.
Su, “AutoIt, statik analizi zorlaştırır ve iyi huylu araçları taklit eden dinamik davranışlar oluşturur.” dedi.
Snake Keylogger çalıştırıldığında, kendisinin bir kopyasını “%Local_AppData%\supergroup” klasörüne “ageless.exe” adıyla bırakır. Windows Başlangıç klasörüne “ageless.vbs” dosyası ekleyerek zararlı yazılımı otomatik çalıştırır.
Bu kalıcılık mekanizması sayesinde Snake Keylogger, enfekte sistemde sürekli erişim sağlayabilmektedir. Süreçler sonlandırıldığında dahi zararlı yazılım faaliyetlerine devam edebiliyor.
Process Hollowing ile Tespit Edilmekten Kaçınıyor
Saldırı zincirinin son aşamasında, ana zararlı yük, “regsvcs.exe” gibi meşru bir .NET işlemine enjekte ediliyor. Bu bağlamda, Process Hollowing adı verilen teknik, süreçler arasında gizlenmesine olanak tanıyor.
Ayrıca Snake Keylogger, tuş vuruşlarını kaydetmek için *SetWindowsHookEx API’sini kullanır ve *WH_KEYBOARD_LL (bayrak 13) ile düşük seviyeli bir klavye kancası oluşturur. Bu teknik, zararlı yazılımın banka giriş bilgileri gibi hassas girdileri kaydetmesine imkan tanır.
Yeni Tehdit: Lumma Stealer ve Kötü Amaçlı LNK Dosyaları
CloudSEK, eğitim kurumlarına ait altyapılarla Lumma Stealer zararlısını yaymak için LNK dosyaları dağıtıldığını açıkladı.
Finans, sağlık, teknoloji ve medya sektörlerini hedef alan saldırılar, parolaları ve kripto cüzdanlarını çalıyor.
Mayank Sahariya, “Kampanyanın ana enfeksiyon vektörü, kötü amaçlı LNK dosyalarıdır” dedi. Bu dosyalar, ziyaretçileri WebDAV sunucusuna yönlendirerek oradan zararlı içeriği indirip çalıştırıyor.
LNK dosyası, PowerShell komutunu çalıştırarak uzak bir sunucuya bağlanmaktadır. Bir sonraki aşama zararlı yazılımı indiriyor. Bu zararlı yazılım, JavaScript kodu ile gizlenmiş bir PowerShell komut dosyası içeriyor ve Lumma Stealer’ı aynı sunucudan indirerek çalıştırıyor.
Son haftalarda, hırsız yazılımlarının, obfuske edilmiş JavaScript dosyaları aracılığıyla yayıldığı ve ele geçirilen Windows sistemlerinden hassas verileri çalmak için Telegram botlarıyla iletişim kurduğu gözlemlenmiştir.
Siber güvenlik şirketi Cyfirma, “Saldırı, açık kaynaklı bir hizmetten kodlanmış dizeler alarak bir PowerShell betiği çalıştıran bir JavaScript dosyası ile başlıyor” dedi.
Bu betik, steganografi tekniklerini kullanarak zararlı yazılımı içeren bir tür dosya indirmektedir.
Çalıştırıldığında, bu dosyalar hırsız yazılımı sistemde devreye sokuyor. Daha fazla bilgi edinmek için tıklayabilirsiniz.
Önceki haber için tıklayınız.
Leave a Comment