Güvenlik araştırmacıları, virüsten koruma yazılımı tarafından algılanmasını önlemeye yardımcı olmak için kod imzalama sertifikalarından ve diğer tekniklerden yararlanan yeni bir kötü amaçlı yazılım kampanyası belirlediler.
yeni bir göre Blog yazısı Siber güvenlik firmasının araştırmacıları, tehdit önleme telemetrisini inceledikten sonra bir dizi kötü amaçlı etkinlik belirledi.
Bu yeni kampanyanın arkasındaki siber suçlular, güvenlik camiasının radarı altında kalmalarına yardımcı olmak için kötü amaçlı yazılımları imzalamak için geçerli kod imzalama sertifikaları kullanıyor. Ancak Elastic Security, kampanyada kullanılan ve Blister adını verdiği yeni bir kötü amaçlı yazılım yükleyici keşfetti.
Geçerli kod imzalama sertifikalarının kullanılması ve tespit edilmesini önlemek için alınan diğer önlemler nedeniyle, sorumlu siber suçlular bu yeni kampanyayı en az üç aydır yürütüyor.
Blister kötü amaçlı yazılım
Siber suçlular, Blist LLC adlı bir şirket için dijital kimlik firması Sectigo tarafından verilen bir kod imzalama sertifikası kullanıyor; bu nedenle Elastic Security, kötü amaçlı yazılım yükleyicilerine Blister adını verdi. Mail.Ru’yu e-posta hizmeti olarak kullandıkları için Rusya dışında da çalışıyor olabilirler.
Siber suçlular, geçerli bir kod imzalama sertifikası kullanmanın yanı sıra, tespit edilmemek için Blister kötü amaçlı yazılımını meşru bir kitaplığa gömmek gibi başka tekniklere de güveniyorlardı. Rundll32 komutu kullanılarak yükseltilmiş ayrıcalıklarla yürütüldükten sonra, kötü amaçlı yazılım, kaynak bölümünde yoğun şekilde gizlenen ve depolanan önyükleme kodunu çözer. Buradan, kod, korumalı alan analizinden kaçınmak için on dakika boyunca uykuda kalır.
Yeterli zaman geçtikten sonra, kötü amaçlı yazılım başlar ve bir Windows sistemine uzaktan erişmesine ve bir kurbanın ağı boyunca yanlamasına hareket etmesine izin veren gömülü yüklerin şifresini çözmeye başlar. Blister, ProgramData klasöründe bir kopyanın yanı sıra rundll32.exe olarak poz veren başka bir kopya saklayarak virüslü bir makinede kalıcılık da sağlar. Daha da kötüsü, kötü amaçlı yazılım bir sistemin başlangıç konumuna eklenir, böylece bir makine her başlatıldığında başlatılır.
Elastic Security, Sectigo’ya Blister’ın kod imzalama sertifikasını iptal ettirdiğini bildirdi. Yara kuralı kuruluşun yeni kötü amaçlı yazılımı tanımlamasına yardımcı olmak için.
Biz de öne çıkardık en iyi kötü amaçlı yazılım temizleme yazılımı, en iyi antivirüs ve en iyi uç nokta koruma yazılımı
Üzerinden Bipleyen Bilgisayar