Bilgisayar korsanları, uç nokta korumasını atlamak ve kötü amaçlı yazılım dağıtmak için Windows Kullanıcı Hesabı Denetimi (UAC) özelliğindeki iki yıllık bir kusuru kötüye kullanıyor (yeni sekmede açılır)araştırmacılar söylüyor.
SentinelOne’ın siber güvenlik uzmanları kısa süre önce, tehdit aktörlerinin Remcos uzaktan erişim truva atı (RAT) ile Doğu Avrupa’daki kurbanları hedef almak için UAC kusurunu nasıl kullandıklarını ayrıntılarıyla açıklayan yeni bir rapor yayınladı.
Raporda SentinelOne, saldırının olağan kimlik avı e-postasıyla başladığını söylüyor. E-posta kısa, mağduru doğrudan gecikmiş bir fatura veya benzer şekilde acil olduğu iddia edilen bir eke yönlendiriyor. Ancak ek, yürütülebilir DBatLoader dosyasını taşıyan bir tar.lz arşividir.
Antivirüs programlarından saklanma
Format seçimi biraz garip, BleepingBilgisayar (yeni sekmede açılır) raporlar ve kurbanların numaraya düşme şansını düşürür. Bununla birlikte, ekin e-posta güvenliği tarafından yakalanma şansını da düşürür, belki de tehdit aktörlerinin onu seçmesinin nedeni budur.
Eki çalıştırmak iki şey yapar: ilk olarak, genel bir bulut hizmetinden ikinci bir yükü indirir ve ardından sahte bir güvenilir dizin oluşturur.
Yayına göre sahte bir güvenilir dizin, neredeyse aynı ada sahip olarak UAC tarafından güvenilen bir dizinle alay eden bir klasördür. Tek fark, fazladan bir alana sahip olmasıdır. Örneğin, “C:WindowsSystem32” sahte klasörü “C:Windows System32” olacaktır.
Windows’taki Dosya Gezgini, bu sahte klasörü meşru olanla aynı şekilde ele aldığından (olduğu gibi, UAC uyarısını tetiklemez) – tehdit aktörleri, kullanıcıdan onay istenmeden kötü amaçlı dosyaları çalıştırmak için kötüye kullanabilir.
Bu nedenle, DBatLoader yürütülebilir dosyası, meşru bir exe dosyasını (easinvoker.exe) ve kötü amaçlı bir DLL’yi (netutils.dll) sahte güvenilir dizine yerleştirir ve bunları çalıştırır.
Easinvoker.exe, kullanıcılar ne olduğunu bilmeden kötü amaçlı DLL’yi çalıştıracaktır. Son olarak, kötü amaçlı DLL, Remcos’u işlem enjeksiyonu yoluyla yürüterek, tehdit aktörüne ekran görüntüleri alma ve tuş vuruşlarını kaydetme yeteneği verir.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)
