Yeni Bir Malware Kampanyası: DesckVB RAT
Siber güvenlik araştırmacıları, Google’s DoubleClick alanını kullanarak tespit edilmenin önüne geçen yeni bir malspam kampanyasını duyurdu. Bu kampanya, 2026 yılından itibaren aktif olan DesckVB RAT adında bir uzaktan erişim trojanı (RAT) dağıtmaktadır.
Saldırı Nasıl Çalışıyor?
Saldırı, kullanıcıların bir phishing e-postasına ekli HTML dosyasını açmasıyla başlar. Bu dosya, kullanıcının tarayıcısını Google DoubleClick Kampanya Yöneticisi’nde bir tıklama izleme URL’sine yönlendirir. Ardından, kullanıcı bir başka yönlendirici aracılığıyla Base64 kodlu e-posta adresini çözümler ve bir “PDF İndir” butonunun bulunduğu bir açılış sayfasına yönlendirilir.
- Kullanıcı “PDF İndir” butonuna tıkladığında, sunucu bir ZIP arşivi gönderir.
- ZIP arşivi, bir JavaScript yükleyici aracılığıyla .NET RAT’ı alır ve çalıştırır.
- Bu yükleyici, PowerShell betiğini çıkarır ve dış bir sunucudan .NET yükleyici alır.
Yükleyici, makinenin güvenlik kontrollerini etkisiz hale getirir ve kalıcılık sağlar, daha sonra asıl RAT yükünü indirir ve çalıştırır. Bu işlemler, Microsoft ile imzalı süreçlere kötü amaçlı yazılımın enjekte edilmesiyle (process hollowing) gerçekleştirilir.
Etkilenen Sistemler
DesckVB RAT, birçok sistemde etki gösterebiliyor. Saldırganlar, kurban makinelerinin işletim sisteminin temel bileşenleri olan Microsoft Defender’ı hedef alarak güvenlik kontrollerini devre dışı bırakıyor. Bu trojan, aşağıdaki yeteneklere sahiptir:
- Veri çıkarma
- Komut çalıştırma
- Ekstra yükler dağıtma
Kötü amaçlı yazılım, ayrıca analiz araçlarını tespit ettiğinde makineyi yeniden başlatarak kendisini gizlemeye çalışmaktadır.
Çözüm ve Korunma
Kurumlar, bu tür saldırılardan korunmak için bazı önlemler almalıdır:
- Group Policy Object (GPO) ayarları ile .vbs, .hta ve .js gibi dosyaların Notepad ile açılmasını sağlamak.
- Email güvenliği için DMARC, DKIM, ve SPF kayıtlarının yapılandırılması.
- E-posta geçidi çözümlerinin kullanılarak eklerin ve bağlantıların teslimat öncesinde saklanması.
Bu önlemler, potansiyel tehditlerin ilk aşamalarda etkisiz hale getirilmesine yardımcı olacaktır.
Sonuç
Kurumların, sistemlerini güncellemeleri, hassas dosya uzantıları için açılış ayarlarını gözden geçirmeleri ve e-posta güvenliğini artırmaları önemlidir. Port kapatma gibi ekstra güvenlik önlemleri de göz önünde bulundurulmalıdır. Unutulmamalıdır ki, çok katmanlı bir savunma stratejisi, siber saldırılara karşı en etkili koruma yöntemidir.
