FormBook bilgi çalan kötü amaçlı yazılımı dağıtmak için tasarlanmış sanallaştırılmış .NET yükleyicilerini dağıtmak için devam eden bir kötü amaçlı reklam kampanyası kullanılıyor.
SentinelOne araştırmacıları Aleksandar Milenkoski ve Tom Hegel, “MalVirt olarak adlandırılan yükleyiciler, işlemleri sonlandırmak için Windows Process Explorer sürücüsünün yanı sıra anti-analiz ve kaçınma için karartılmış sanallaştırma kullanıyor.” söz konusu teknik bir yazıda.
Google kötü amaçlı reklamcılığına geçiş, Microsoft’un Office’te varsayılan olarak internetten indirilen dosyalardan makro yürütülmesini engellemeyi planladığını duyurmasından bu yana, suç yazılımı aktörlerinin kötü amaçlı yazılımı dağıtmak için nasıl alternatif dağıtım yolları tasarladığının en son örneğidir.
Kötü amaçlı reklamcılık, Blender gibi popüler yazılımları arayan kullanıcıları truva atı haline getirilmiş yazılımı indirmeleri için kandırma umuduyla hileli arama motoru reklamları yerleştirmeyi gerektirir.
.NET’te uygulanan MalVirt yükleyicileri, meşru KoiVM davranışını gizlemek amacıyla .NET uygulamaları için sanallaştırma koruyucusu ve FormBook kötü amaçlı yazılım ailesini dağıtmakla görevli.
Yükleyicilerin, bir sanal makine veya uygulama sanal alanı ortamında yürütülmekten kaçınmak için anti-analiz ve anti-algılama tekniklerini birleştirmenin yanı sıra, deşifre etmeyi daha da zorlaştırmak için ek gizleme katmanları içeren değiştirilmiş bir KoiVM sürümü kullandığı bulundu.
Yükleyiciler ayrıca imzalı bir Microsoft’u dağıtır ve yükler. Süreç araştırmacısı Yükseltilmiş izinlerle eylemleri gerçekleştirmek amacıyla sürücü. Örneğin ayrıcalıklar, işaretlenmekten kaçınmak için güvenlik yazılımıyla ilişkili işlemleri sonlandırmak üzere silah haline getirilebilir.
Hem FormBook hem de halefi XLoader, keylogging, ekran görüntüsü hırsızlığı, web ve diğer kimlik bilgilerinin toplanması ve ek kötü amaçlı yazılımların hazırlanması gibi çok çeşitli işlevler uygular.
Kötü amaçlı yazılım türleri, geçen yıl Zscaler ve Check Point tarafından daha önce açıklandığı gibi, kodlanmış içeriğe sahip sis perdesi HTTP istekleri arasındaki komut ve kontrol (C2) trafiğini birden çok sahte etki alanına kamufle etmekle de dikkat çekiyor.
Araştırmacılar, “Microsoft’un İnternet’teki belgelerde Office makrolarını varsayılan olarak engellemesine bir yanıt olarak, tehdit aktörleri alternatif kötü amaçlı yazılım dağıtım yöntemlerine yöneldiler – en son olarak kötü amaçlı reklamcılık” dedi.
“MalVirt yükleyicileri […] Tehdit aktörlerinin tespitten kaçmak ve analizi engellemek için ne kadar çaba sarf ettiğini gösteriyor.”
Yöntemin zaten bir şeye tanık olması uygundur. başak diğer suç aktörleri tarafından son birkaç aydır IcedID, Raccoon, Rhadamanthys ve Vidar hırsızlarını zorlamak için kullanılması nedeniyle.
Abuse.ch, “Bir tehdit aktörünün kötü amaçlı reklamcılığı karanlık ağda bir hizmet olarak satmaya başlaması muhtemeldir ve büyük bir talep var.” söz konusu içinde rapor“tırmanma” için olası bir nedene işaret ediyor.
Bulgular, Hindistan merkezli K7 Security Labs’tan iki ay sonra geldi. detaylı sanallaştırılmış bir KoiVM sanallaştırılmış ikili aracılığıyla Remcos RAT ve Ajan Tesla’yı bırakmak için bir .NET yükleyiciden yararlanan bir kimlik avı kampanyası.
Bununla birlikte, saldırganlar güvenlik sınırlarını aşmak için Excel eklentileri (XLL’ler) ve OneNote e-posta ekleri gibi diğer dosya türlerini de denediğinden, hepsi kötü amaçlı reklamlar değildir. Bu listeye yeni katılan, Visual Studio Tools for Office (VSTO) eklentilerinin bir saldırı aracı olarak kullanılmasıdır.
“VSTO eklentileri, Office belgeleriyle (Yerel VSTO) birlikte paketlenebilir veya alternatif olarak, bir VSTO-Bearing Office belgesi açıldığında uzak bir konumdan alınabilir (Uzak VSTO),” Deep Instinct ifşa geçen hafta. “Ancak bu, güvenle ilgili güvenlik mekanizmalarının atlanmasını gerektirebilir.”