Kötü amaçlı makrolara sahip dokümanlar, finansal işlem sistemlerine kötü amaçlı yazılımlar sunar

Kötü amaçlı makrolar içeren Spamed Word belgeleri, son birkaç ay içinde bilgisayarları enfekte etmek için popüler bir yöntem haline geldi. Saldırganlar artık bilgisayardaki belleğe doğrudan yüklenen kötü amaçlı kötü amaçlı yazılımlar sunmak için bu belgeleri kullanarak bir adım daha ileri götürüyorlar.

Palo Alto Networks'ten güvenlik araştırmacıları, spam e-postaları kötü amaçlı Word belgeleriyle birlikte iş e-postasına taşıyan saldırı saldırılarını analiz etti. ABD, Kanada ve Avrupa'dan gelen adresler.

E-postalar, alıcıların isimlerini ve birlikte çalıştıkları şirketler hakkında özel bilgileri içerdi; bu, yaygın spam kampanyalarının tipik bir örneği değil. Detaylara gösterilen bu dikkat, spam mesajlara daha fazla güvenirlik kazandı ve kurbanların ekli belgeleri açmasını daha olası kıldıklarını söyledi, araştırmacılar.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Makrolar içeren belgeler Çalıştırmasına izin verilirse, özel komut satırı argümanlarına sahip powershell.exe dosyasının gizli bir örneğini yürütün. Windows PowerShell, varsayılan olarak Windows'da bulunan ve kendi komut dosyası diliyle birlikte gelen bir görev otomasyonu ve yapılandırma yönetimi çerçevesidir.

Bu durumda yürütülen PowerShell komutu, Windows işletim sisteminin bir 32 bit mi, yoksa 64 olduğunu kontrol etmek için tasarlanmıştır. -bit sürümü ve OS mimarisine karşılık gelen ek bir PowerShell betiği indirmeye.

Hileli betik bilgisayarda çeşitli denetimler gerçekleştirir. Öncelikle, ortamın, zararlı yazılım analistleri tarafından kullanılanlar gibi sanal bir makine mi yoksa sanal alan mı olduğunu belirlemeye çalışır. Daha sonra okul, hastane, kolej, sağlık ve hemşire gibi diziler için ağ yapılandırmasını tarar. Ayrıca ağ, öğretmen, öğrenci, okul, pediatri, ortopedik, POS, mağaza, mağaza ve satış gibi isimleri olan diğer makineler için de tarar. Önbelleğe alınmış URL'ler bir dizi finansal web sitesi ve Citrix ve XenApp gibi isimler için taranır.

Palo Alto araştırmacılarına göre, bu kontrollerin amacı, finansal işlemleri gerçekleştirmek için kullanılan sistemlere ve sistemlere ait sistemlerden kaçınmaktır. güvenlik araştırmacıları, tıp ve eğitim kurumları gibi.

Sadece saldırganların aradığı sistemle eşleşen sistemler işaretlenir ve bir komut-kontrol sunucusuna geri gönderilir. Bu sistemler için, betik kötü amaçlı şifrelenmiş bir DLL (dinamik bağlantı kitaplığı) dosyası indirir ve belleğe yükler.

"Spam e-postaları içinde yer alan hedefe özel ayrıntılar ve bellekte yerleşik kötü amaçlı yazılımların kullanılması nedeniyle, bu özellik kampanyası bir tehdit olarak ele alınmalıdır, "Palo Alto araştırmacıları bir blog yazısında söyledi.

SANS Enstitüsü'nün İnternet Fırtına Merkezi'nden araştırmacılar tarafından geçen hafta benzer bir PowerShell ve kötücül yazılım içermeyen bir yazılım kombinasyonu gözlemlendi.

her sistem açılışında gizli bir PowerShell örneğini başlatan bir kayıt defteri anahtarı oluşturur. PowerShell komutu, ayrı bir kayıt defteri anahtarında saklanan kodlanmış bir komut dosyasını yürütür. Amacı hiç bir diske yazmadan bir yürütülebilir dosyayı doğrudan belleğe şifrelemek ve belleğe yüklemek.

"PowerShell kullanarak saldırganlar, sabit diskte algılanabilecek kötü amaçlı yazılımları Windows Kayıt Defterine yerleştirebiliyorlardı," kıdemli SANS eğitmeni Mark Baggett, bir blog yazısında şöyle dedi:

Sistem kayıt defterinde zararlı kod depolamak, Windows PowerShell'i kötüye kullanmak ve belgelere kötü amaçlı makrolar eklemek yeni teknikler değildir. Ancak, onların kombinasyonu çok güçlü ve zor-algılanan saldırılara yol açabilir.