btbilgi

2019’u Temmuz ayında kötü amaçlı yazılım yaymak için Windows araçlarını kullanan Astaroth suç grubunun, Ocak ve Şubat ayında yeni operasyonlarla sanal ortamlara geri döndüğü rapor ediliyor. Geçen yıl yapılan duyuruda, Windows Defender ATP ekibinin işletim sistemine entegre olan Windows Yönetim Araçları Komut Satırı’nın (WMIC) kullanımında büyük bir artış tespit ettiği aktarılmıştı.

Defender ATP ekibinin geçen seneki araştırmasında, Astaroth saldırılarının spam e-postalar içinde bulunan ‘.LNK’ uzantılı bir kısayol dosyası aracılığı ile başlatıldığı saptanmış. Kullanıcı dosyayı indirip çalıştırırsa, sanki geleneksel bir anti-virüsmüş gibi görünen kötü niyetli yazılım devreye giriyor. Bu yazılım WMIC servisini ve diğer başka Windows araçlarını arka planda başlatıyor. Bunlar işletim sisteminin belleğinde dosyasız zararlı yazılımlar çalıştırmakta ve farklı kötü niyetli işlemler yapılabilmekte.

Şimdi ise yazılımın daha gelişmiş teknikler kullandığı aktarılmış. Microsoft Defender ATP raporuna göre, Astaroth operasyonları Ocak ayında yavaş yavaş tekrar başlamış ve Şubat ayında da üç büyük artış gözlemlenmiş. Her ne kadar saldırı hala bir sahte e-posta ile başlatılsa da, artık yazılım saldırganın mevcut bir dosyaya gizlice zararlı veri eklemesine izin veren Alternatif Veri Akışları (ADS) özelliğini kullanmakta.

Microsoft uyardı: Windows zararlısı Astaroth geri döndü
Kaynak: Microsoft

Defender ATP ekibinden araştırmacı Hardik Suri, yazılımın mevcut tespit yöntemlerini atlatmak için WMIC ve benzeri sistemleri artık kullanmadığını söylemiş.  Astaroth yazılımı artık son derece sıradışı bir saldırı vektörü olarak görülen, işletim sisteminin normal süreçlerinden biri olan ExtExport.exe’yi kötüye kullanmakta. Suri’ye göre yeni teknikler kötü amaçlı yazılımı daha da gizlenebilir hale getiriyor.

Microsoft raporunda en etkili saldırıların geçtiğimiz yılda ABD, Avrupa ve Asya’da gerçekleştirildiği; bu seneki saldırıların büyük kısmının ise Brezilya’daki Windows kullanıcılarını hedeflemekte olduğu belirtilmiş. Kullanıcılara gelen sahte e-postaların Portekizce yazıldığı ve ” # 56704/2019 BEYANNAMESİ VE YASAL KARARI le ilgili bilgileri aşağıdaki bağlantıda bulabilirsiniz” şeklinde bir mesaj içerdiği ifade edilmekte. E-postanın ekinde ise ‘Arquivo_PDF_ <date>.zip’ etiketli bir arşiv dosyası bulunuyor. Kullanıcıların bu türden mesajlar ve şüpheli bağlantılar veya eklentiler içeren e-postalara karşı dikkatli olması, Microsoft güvenlik uzmanları tarafından tavsiye edilmekte.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.