Kullanılabilirlikte artış 100 dolardan daha düşük fiyata satılan kötü amaçlı yazılım “yemek kitleri”, c’de bir artışa neden oluyorGenellikle e-postalara eklenen meşru görünen Excel ve PowerPoint dosyalarına gömülü olan uzaktan erişim Truva atlarını (RAT’lar) kullanan kampanyalar.
Bu, “2023 3. Çeyrek Tehdit Analizleri Raporu” bugün, Paralaks RAT bulaşmış DLL’lerin bulunduğu Excel dosyalarında önemli bir artış gözlemleniyor. HP’nin kıdemli kötü amaçlı yazılım analisti Alex Holland’a göre, dosyalar alıcılara faturalarda yasal olarak görünüyor ve tıklandığında kötü amaçlı yazılımı başlatıyor. Paralaks RAT kötü amaçlı yazılım kitleri Hacking forumlarında ayda 65 dolara satışa sunulduğunu ekliyor.
HP’nin raporuna göre siber suçlular, GitHub gibi görünüşte meşru depolarda barındırılan XWorm gibi kötü amaçlı yazılım kitleriyle saldırgan olmayı hedefleyenleri de hedef aldı. Araştırmacılara göre, yeni DiscordRAT 2.0 özelliğine sahip olanlar gibi diğerleri de yakın zamanda ortaya çıktı.
Holland, çeyrek boyunca telemetrisinde gördüğü tehditlerin %80’inin e-posta tabanlı olduğunu vurguladı. Ve ilginç bir kırışıklıkta, bazıları Bazı RAT kampanyalarında bilgili saldırganların deneyimsiz olanları hedef almasıyla siber suçlular kendi hedeflerinin peşinden gidiyor gibi görünüyor.
Paralaks Yükseliyor
HP raporuna göre Parallax RAT, 2023’ün ikinci çeyreğindeki en popüler 46’ncı yükten, bir sonraki çeyrekte yedinci sıraya yükseldi. Holland, “Bu, kötü amaçlı yazılımlarını dağıtmak için bu dosya biçimini kullanan saldırganların sayısında gerçekten büyük bir artış” diyor.
Örneğin, araştırmacılar bir “Jekyll ve Hyde” saldırısı çalıştıran bir Paralaks RAT kampanyası tespit etti: “Kullanıcı taranmış bir fatura şablonunu açtığında iki iş parçacığı çalışır. Bir iş parçacığı dosyayı açarken diğeri perde arkasında kötü amaçlı yazılım çalıştırır ve bu da kullanıcının işini zorlaştırır.” Rapora göre kullanıcılar bir saldırının devam ettiğini bildirecekler.
Mart 2020’de yayınlanan bir blog gönderisine göre Paralaks, daha önce pandeminin başlangıcında çeşitli kötü amaçlı yazılım kampanyalarıyla ilişkilendirilmişti. Arnold OsipovMorphisec’te bir kötü amaçlı yazılım araştırmacısı. Osipov o dönemde şöyle yazmıştı: “Gelişmiş tespit çözümlerini aşabiliyor, kimlik bilgilerini çalabiliyor, uzaktan komut çalıştırabiliyor.”
Osipov, Dark Reading’e HP’nin bildirdiği Paralaks kullanan saldırılarda belirli bir artış görmediğini ancak genel olarak RAT’ların 2023’te büyüyen bir tehdit haline geldiğini söylüyor.
RAT’lar Siber Saldırı Sahnesini İstila Ediyor
RAT faaliyetlerindeki çeşitli artışlar arasında Temmuz ayındaki artış da yer alıyor. Kontrol Noktası Araştırması işaret etti İlk kez 2016’da ortaya çıkan ve Remcos olarak bilinen RAT’ın bulaştığı Microsoft Office dosyalarının sayısında artış yaşandı. Bu kötü amaçlı dosyaların çoğu, tehdit aktörleri tarafından oluşturulan sahte web sitelerinde ortaya çıktı.
HP’nin altını çizdiği yükselişte olan bir diğer RAT tabanlı kampanya ise Vjw0rm JavaScript kötü amaçlı yazılımını gizleyen Houdini’dir. Houdini, artık işletim sistemi tabanlı komut dosyası oluşturma özelliklerinden yararlanan bilgisayar korsanlığı formlarında kolayca elde edilebilen 10 yıllık VBScript tabanlı bir RAT’tır.
Microsoft’un VBScript’i kullanımdan kaldırmayı planlaması nedeniyle Houdini ve Paralaks’tan kaynaklanan tehditlerin kısa ömürlü olabileceğini belirtmekte fayda var. Microsoft bu ayın başlarında VBScript’in yalnızca Windows’un gelecek sürümlerinde kullanılabileceğini, yalnızca talep üzerine kullanılabileceğini ve sonuçta artık kullanılamayacağını duyurmuştu.
Ancak Holland, bunun defans oyuncuları için iyi bir haber olduğunu ancak hücum oyuncularının başka bir şeye yöneleceğini söylüyor.
“Gelecekte saldırganların VBScript kötü amaçlı yazılımlarından ve hatta muhtemelen JavaScript kötü amaçlı yazılımlarından Windows’ta desteklenmeye devam edecek biçimlere (PowerShell ve Bash gibi) geçiş yapmasını bekliyoruz” diyor. “Ayrıca saldırganların bu kodlama dillerini kullanarak uç nokta güvenliğini aşmak için ilginç veya yeni gizleme teknikleri kullanmaya daha fazla odaklanmasını bekliyoruz.”
