Yeni Tehdit: DEAD#VAX Kampanyası
Son dönemde güvenlik araştırmacıları, DEAD#VAX adı verilen yeni bir kötü amaçlı yazılım kampanyası hakkında önemli bilgiler paylaştılar. Bu kampanya, geleneksel tespit mekanizmalarını aşmak için çeşitli teknikler kullanarak, sistemlerin güvenliğini tehlikeye atıyor.
Saldırı Nasıl Çalışıyor?
DEAD#VAX kampanyası, AsyncRAT adındaki bir uzaktan erişim trojanı (RAT) dağıtmak için çok aşamalı bir yaklaşım benimsemektedir. Aşağıdaki tekniklerle bir araya gelen bir dizi işlem içerir:
- IPFS üzerinden barındırılan sanal sabit disk (VHD) dosyalarının kullanılması
- Aşırı script obfuscation (karmaşıklaştırma) teknikleri
- Çalışma zamanında şifre çözme işlemleri
- Güvenilir Windows süreçlerine bellek içi shellcode enjekte etme
Güvenlik araştırmacıları, bu dosyaların genelde PDF belgeleri olarak gizlendiğini belirtmektedir. Kullanıcılar bu dosyayı açmaya çalıştıklarında, sistemde sanal bir sabit disk olarak monte edilir ve kötü amaçlı kod hızlı bir şekilde çalıştırılabilir.
Etkilenen Sistemler
DEAD#VAX kampanyası, özellikle aşağıdaki Windows süreçlerine saldırı düzenlemektedir:
- RuntimeBroker.exe
- OneDrive.exe
- taskhostw.exe
- sihost.exe
AsyncRAT, bu süreçlerin içinde çalışarak dikkat çekmemeyi ve sistem güvenliğini aşmayı hedeflemektedir.
Çözüm ve Korunma
Bu durumdan korunmak ve etkilenmemek için aşağıdaki önlemleri almanız önerilmektedir:
- Antivirüs yazılımlarınızı güncel tutun ve tarama yapın.
- Güvenilir kaynaklardan gelen e-postaları dikkatlice inceleyin ve şüpheli ekleri açmayın.
- Windows güncellemelerinizi kontrol edin ve yükleyin.
- Ağ güvenliğinizi sağlamak için gereksiz portları kapatın.
Sonuç
DEAD#VAX kampanyası, daha önce görülmemiş bir gizlilik ve stealth tekniği kullanmaktadır. Kullanıcıların, güncellemelerini yapmaları, bilinmeyen kaynaklardan gelen dosyaları açmamaları ve ağ güvenliklerini artırmaları kritik öneme sahiptir. Bu tür tehditlerle başa çıkmak için proaktif önlemler almak, sistemlerinizi korumanızda hayati rol oynayacaktır.
