Giriş
Çin kaynaklı siber suç grupları tarafından yürütülen bir kampanya, güvenilir yazılım markalarını taklit eden alan adları kullanarak hedef kullanıcıları etkilemeyi amaçlıyor. Bu saldırılarda, daha önce belgelenmemiş bir uzaktan erişim trojanı olan AtlasCross RAT dağıtılmaktadır.
Saldırı Nasıl Çalışıyor?
Bu saldırı zincirleri, kullanıcıları sahte web siteleri aracılığıyla aldatmayı amaçlıyor. Kullanıcılar, aşağıdaki adımlarla trojanı içeren ZIP arşivlerini indirmeye yönlendiriliyor:
- Sahte yazılım sitesine yönlendirme.
- ZIP arşivinde sahte bir Autodesk yükleyici ile birlikte gerçek bir uygulama yer alması.
- Trojanlı Autodesk yükleyicisinin çalıştırılması, bu yükleyici bir shellcode loader başlatır.
- In-memory olarak AtlasCross RAT‘ın çalıştırılması.
Trojanlı Autodesk yükleyicisi, yerleşik bir Gh0st RAT konfigürasyonunu çözen shellcode yükleyici başlatır ve “bifa668[.]com” adresinden TCP üzerinden bir ikinci aşama shellcode yüklemesi indirir.
Etkilenen Sistemler
Saldırı kampanyası, çeşitli yazılımları hedef alıyor:
- VPN istemcileri.
- Şifreli mesajlaşma uygulamaları.
- Video konferans araçları.
- Kripto para takip uygulamaları.
- e-Ticaret uygulamaları.
Kampanya, Surfshark VPN, Signal, Telegram, Zoom ve Microsoft Teams gibi markaları taklit eden on bir doğrulanmış teslimat alan adı ile yürütülmektedir.
Çözüm ve Korunma
Güvenliğinizi artırmak için aşağıdaki adımları atmanız önerilir:
- Tüm yazılımları güncel tutun.
- Güvenilir kaynaklardan indirme yapın.
- Port 9899’u kapatın; bu port AtlasCross RAT’ın verilerini indirdiği porttur.
- Varsayılan güvenlik duvarı ayarlarını kontrol edin ve güçlendirin.
- Bu tür sahte web sitelerinin farkında olun; güvenilir domainleri kontrol edin.
Sonuç olarak, AtlasCross RAT gibi zararlı yazılımlardan korunmak için yalnızca güncellemeleri takip etmekle kalmayın, aynı zamanda siber güvenliğinizi sürekli olarak gözden geçirip güçlendirmeye yönelik önlemler alın.
