Araştırmacılar, zengin özelliklere sahip ve eski moda Office makro yolunu dağıtan yepyeni bir uzaktan erişim truva atının (RAT) son zamanlarda vahşi doğada tespit edildiğini söylüyor.
Proofpoint’ten siber güvenlik araştırmacıları kısa süre önce Golang’da yazılmış platformlar arası 64 bit bir ürün olan Nerbian RAT adlı kötü amaçlı yazılım keşfetti.
Pek çoğu tespit edilmekten ve analiz edilmekten kaçınmak için inşa edilmiş özellikler de dahil olmak üzere, özellikler açısından “zengindir”.
DSÖ’nün kimliğine bürünme
Tehdit aktörü, Dünya Sağlık Örgütü’nü (WHO) taklit ettiği küçük ölçekli bir e-posta kampanyası başlattı. E-posta, makro içeren bir Word dosyasında sahte Covid-19 bilgilerini paylaşıyor. Etkinleştirilirse, makro 64 bitlik bir damlalık indirir.
Damlalık “UpdateUAV.exe” olarak adlandırılır ve bu aşama bile tespit önleme ve analiz önleme özellikleri taşır. Görünüşe göre bunların hepsi çeşitli GitHub projelerinden “ödünç alındı”. Damlalık ayrıca, RAT’ı her saat başı başlatan zamanlanmış bir görev aracılığıyla kalıcılık sağlar.
Truva atının adı “MoUsoCore.exe”dir ve C:ProgramDataUSOShared klasörüne bırakılır. Genel işlevler arasında, günlüğe kaydettiği her şeyi şifreli biçimde saklayan bir keylogger ve tüm işletim sistemleri için bir ekran görüntüsü alma aracı bulunur.
Yayın, kampanyanın hala “küçük ölçekli” olduğunu ve tehlikeli olmasına rağmen hala büyük bir tehdit olmadığını söylüyor. Ancak bu her an değişebilir.
Microsoft’un, suçlular tarafından sürekli olarak silahlandırılmasından başka bir nedenden ötürü, özelliği neredeyse tamamen aşamalı olarak kaldırmaya karar verdiğini bilerek, tehdit aktörlerinin hala makro bağlı Office dosyalarını dağıttığını görmek ilginç.
Bu yılın Şubat ayının başlarında Microsoft, kullanıcıların en popüler beş Office uygulamasından “güvenilmeyen” belgelerde VBA makrolarını artık etkinleştiremeyeceklerini söyledi. Şirket ağı dışından paylaşılan tüm dosyalar “güvenilmez” olarak kabul edilecektir, yani aynı etki alanından gelen tüm dosyalar makrolarını koruyabilmelidir.
Yıllardır siber suç grupları, saf veya bitkin çalışanları besleyerek makro destekli kötü amaçlı Office belgeleri paylaşıyor. Ödeme makbuzları, başarısız ödeme uyarıları, iş teklifleri, Covid-19 ve aşı bilgileri, dolandırıcıların insanların makroları çalıştırması ve bilgisayarlarına bulaştırması için paylaşacağı belge türlerinden sadece birkaçıdır. uç noktalar.
Aracılığıyla: BleeBilgisayar
