Siber güvenlik araştırmacıları, adlı yeni bir kaçamak amaçlı kötü amaçlı yazılım yükleyicisini ortaya çıkardı. Kalamar Yükleyici Bu, Çinli kuruluşları hedef alan kimlik avı kampanyaları yoluyla yayılıyor.
Kötü amaçlı yazılımı ilk kez Nisan 2024’ün sonlarında gözlemleyen AT&T LevelBlue Labs, kötü amaçlı yazılımın statik ve dinamik analizi engellemek ve sonuçta tespitten kaçınmak için tasarlanmış özellikler içerdiğini söyledi.
Saldırı zincirleri, Microsoft Word belgeleri gibi görünen eklerle birlikte gelen kimlik avı e-postalarından yararlanır, ancak gerçekte kötü amaçlı yazılımın yürütülmesinin önünü açan ikili dosyalardır ve bunlar daha sonra uzak bir sunucudan ikinci aşama kabuk kodu yüklerini almak için kullanılır. Kobalt Saldırısı dahil.
Güvenlik araştırmacısı Fernando Dominguez, “Bu yükleyiciler, analizleri engellerken aynı zamanda tespit edilmemelerine yardımcı olan ağır kaçırma ve tuzak mekanizmalarına sahiptir.” söz konusu. “Teslim edilen kabuk kodu da aynı yükleyici işleminde yükleniyor, bu da büyük olasılıkla veri yükünün diske yazılmasını ve dolayısıyla tespit edilme riskini ortadan kaldırıyor.”
SquidLoader tarafından benimsenen savunmadan kaçınma tekniklerinden bazıları, şifrelenmiş kod bölümlerinin kullanımını, kullanılmayan anlamsız kodu, Kontrol Akış Grafiği (CFG) gizlemeyi, hata ayıklayıcıyı algılamayı ve Windows NT API’lerini çağırmak yerine doğrudan sistem çağrıları gerçekleştirmeyi kapsar.
Yükleyici kötü amaçlı yazılımlar, antivirüs savunmalarını ve diğer güvenlik önlemlerini atlarken, ele geçirilen ana bilgisayarlara ek yükler sağlamak ve başlatmak isteyen tehdit aktörleri için suç yeraltında popüler bir ürün haline geldi.
Geçen yıl, Aon’un Stroz Friedberg olayında, şu şekilde bilinen bir yükleyici ayrıntılarıyla anlatılmıştı: Boğa Yükleyici Taurus bilgi hırsızını dağıttığı da gözlemlendi AgentVXdaha fazla kötü amaçlı yazılım çalıştırma, Windows Kayıt Defteri değişikliklerini kullanarak kalıcılık oluşturma ve veri toplama yeteneklerine sahip bir truva atıdır.
Bu gelişme, bir kötü amaçlı yazılım yükleyicisinin ve PikaBot olarak adlandırılan arka kapının, Şubat 2023’te ortaya çıkışından bu yana geliştiricileri tarafından aktif olarak geliştirilmeye devam ettiğinin vurgulandığı yeni ve derinlemesine bir analizle ortaya çıktı.
Sekoia, “Kötü amaçlı yazılım, tespitten kaçınmak ve analizleri güçlendirmek için sistem kontrolleri, dolaylı sistem çağrıları, sonraki aşamanın ve dizelerin şifrelenmesi ve dinamik API çözümlemesi dahil olmak üzere gelişmiş anti-analiz teknikleri kullanıyor.” söz konusu. “Kötü amaçlı yazılıma yapılan son güncellemeler, yeteneklerini daha da geliştirerek tespit edilmesini ve azaltılmasını daha da zorlaştırdı.”
Ayrıca şu şekildedir: bulgular BitSight’tan, Latrodectus adı verilen başka bir yükleyici kötü amaçlı yazılımla ilgili altyapının, IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee ve TrickBot ile ilişkili olanlar da dahil olmak üzere 100’den fazla botnet sunucusunu gören Endgame Operasyonu adlı bir kolluk kuvveti çalışmasının ardından çevrimdışı duruma geçtiği, sökülmüş.
Siber güvenlik şirketi, 10 farklı kampanyaya yayılmış yaklaşık 5.000 farklı kurbanın gözlemlendiğini ve kurbanların çoğunluğunun ABD, İngiltere, Hollanda, Polonya, Fransa, Çekya, Japonya, Avustralya, Almanya ve Kanada’da bulunduğunu söyledi.
