HP Wolf Security’den siber güvenlik araştırmacıları yeni bir kötü amaçlı yazılım keşfetti (yeni sekmede açılır) Silahlaştırılmış Microsoft Word dosyaları aracılığıyla dağıtılan zorlanma.
SVCReady olarak adlandırılan kötü amaçlı yazılım, tehdit aktörlerinin cihaz bellenimi ve uç noktada yüklü yazılımlar gibi sistem bilgilerini sızdırmasına olanak tanır. (yeni sekmede açılır), rapor diyor. RedLine Stealer adlı nispeten popüler bir tür olan başka bir virüsle uyum içinde konuşlandırılıyor. Bu, şifreler, saklanan ödeme verileri, tarama geçmişi ve benzerleri gibi şeyleri çalmak için kullanılır.
Tehdit aktörü, belgenin özelliklerinde saklanan kabuk kodunu kullanarak, silahlaştırılmış Microsoft Word belgeleri aracılığıyla kötü amaçlı yazılımı dağıtır. Bu, tehdit aktörlerinin genellikle PowerShell veya MSHTA kullanacağı daha standart bir uygulamanın bir sapmasıdır.
Araştırmacılar, suşun henüz emekleme aşamasında ve açıkça devam eden bir çalışma olmasına rağmen, bir sıkıntıdan daha fazlası olma potansiyeline sahip olduğunu söyledi.
Devam eden çalışma
Kötü amaçlı yazılım, olabileceği kadar güçlü değil. HP Wolf Security’de Kötü Amaçlı Yazılım Analisti Patrick Schläpfer, yine de tehdit aktörleri sıkı bir şekilde çalışırken, kayıtsızlığa yer yok, diyor.
Schläpfer, “Kötü amaçlı yazılımdaki birkaç şey bozuk” diyor. “SVCReady açıkça geliştirme aşamasında ve kötü niyetli aktörler son haftalarda ağ iletişim formatına şifreleme ekliyorlar. Kötü amaçlı yazılım iyileştirildiğinden, gelecekte daha büyük bir sorun haline gelme potansiyeli vardır. Dosya adlandırma kurallarında ve finansal olarak motive edilmiş tehdit grubu TA551 tarafından kullanılanlarla bağlantılı görünen cezbedici görüntülerde birkaç benzerlik gördük.”
TA551’i en son duyduğumuz grup, kötü amaçlı yazılım yükleyicileri dağıtmak için e-posta ileti dizilerini ele geçiriyordu. Intezer’den siber güvenlik uzmanları, grubun oturum açma kimlik bilgilerini çalmak, kişilerin gelen kutularına geçmek ve modüler bir bankacılık truva atı olan IcedID bağlantılarıyla uzun e-posta zincirlerine yanıt vermek için yama uygulanmamış ve güvenliği ihlal edilmiş Microsoft Exchange sunucularındaki bilinen güvenlik açıklarını kötüye kullandığını tespit etti.