İçeriğe geçmek için "Enter"a basın

“Roma225” Casus Zararlı Yazılımından Korunmak

Yoroi ZLab güvenlik araştırmacıları son yaptıkları araştırmada İtalyan otomobil sektöründeki firmaları hedef alan bir casusluk zararlı yazılımını inceledi.

Zararlı yazılımın, “Veirano Advogados” adlı Brezilya merkezli iş hukuku danışmanlığı şirketinin büyük ortaklarından birinin taklit edildiği bir oltalama(phishing) saldırısı ile yayıldığı ortaya çıktı.

Araştırmalar sırasında, dosya açılır açılmaz çalışmak üzere ayarlanan VBA makroları içeren bir PowerPoint sunusu ile karşılaşıldı. PowerPoint sunusunun içerdiği makro kodunun Blogger’da barındırılan bir internet sitesine istek yaptığı gözlemlendi.

Tarayıcı ile ziyaret edildiğinde oldukça masum görünen internet sitesinin kaynak kodunun derinlemesine incelenmesi sonucunda görünmez bir blog gönderisi olduğu ve bu gönderiye VBScript kodlarının eklendiği fark edildi.

Araştırmacılar tarafından şaşırtıcı bulunan durum ise, saldırganların VBScript kodunun başlangıcında bu kodun Microsoft tarafından yazıldığına atıfta bulunması oldu.

VBScript kodu kurbanın bilgisayarına kayıt defteri anahtarına gizlenmiş RevengeRAT’ın bir varyantını kurup başka adreslerden zararlı bazı çalıştırılabilir dosyaları indiriyordu.

Son olarak bir adresten Outlook.exe dosyasını indirerek 49359 portunu açan zararlı yazılımın gerçek etkinliklerini öğrenmek için araştırmalar sürüyor.

İlk analizden sonra bu saldırıyı henüz bir tehdit aktörüne bağlamanın mümkün olmadığını söyleyen araştırmacılar, RevengeRAT’ın varyantlarının daha önce birçok siber casusluk kampanyasında kullanıldığını da sözlerine ekledi.

Araştırmanın teknik ayrıntılarını öğrenmek ve bu zararlı yazılımın tespitinde kullanabileceğiniz kuralları görmek için aşağıdaki adresi ziyaret edebilirsiniz: https://blog.yoroi.company/research/the-enigmatic-roma225-campaign/

Benzer tehditlerden korunmak için ne yapabiliriz?

  • Web sayfalarında bulunan JavaScript, Flash ve VBScript gibi “script” içeriklerini engellemek için NoScript gibi tarayıcı eklentilerini kullanın.
  • E-postalarda ve kısa mesajlarda bir kampanyayla sizi başka adreslere yönlendiren içeriklere itibar etmeyin.
  • Güvenmediğiniz kaynaklardan gelen dosyaları açmayın.
  • En son tehditlerden korunmak için güncel bir antivirüs kullanın.
  • Kayıt defterine erişimi engelleyin.

İlk yorum yapan siz olun

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir