00:53:53

Bu sahte iş teklifi dolandırıcılığı cihazınıza ölümcül zararlı yazılım bulaştırıyor…
Dolandırıcılar Ursnif’i LinkedIn uyarıları aracılığıyla dağıtıyor…

Siber güvenlik araştırmacıları ölümcül kötü amaçlı yazılım dağıtan bir başka sahte iş kampanyası tespit etti. Mandiant’ın son raporu, bilinen kötü amaçlı yazılım tehdidi Ursnif’in (Gozi olarak da bilinir) yeni bir sürümünün rapor edildiğini tespit etti.

Önceki sürümlerden farklı olarak bu sürümde alışılagelmiş bankacılık truva atı işlevleri bulunmuyor ve bu da araştırmacıların kötü amaçlı yazılımın fidye yazılımı dağıtmak üzere modifiye edildiğini düşünmelerine yol açıyor.

LinkedIn’de sahte iş teklifleriyle Fidye Yazılımı

Ursnif LDR4 varyantı, meşru bir şirketi taklit eden bir web sitesine bağlantı içeren sahte iş teklifi e-postaları yoluyla iletiliyor.

İş bulma kurumu gibi davranma taktiği, bu stratejiyi daha önce de kullanmış olan Ursnif çetesi için yeni değildir.

Kötü amaçlı sitenin ziyaretçilerinden, kötü amaçlı yazılım yükünü uzak bir kaynaktan getiren makro kodu içeren bir Excel belgesini indirmek için bir CAPTCHA aşamasını geçmeleri istenir.

LDR4 varyantı DLL biçiminde (“loader.dll") gelir, taşınabilir yürütülebilir şifreleyiciler tarafından paketlenir ve geçerli sertifikalarla imzalanır. Bu, sistemdeki güvenlik araçlarının tespitinden kaçmasına yardımcı olur.

Çalıştırıldığında, yeni Ursnif Windows kayıt defterinden sistem hizmeti verilerini toplar bir kullanıcı ve sistem kimliği oluşturur.

Daha sonra, yapılandırma dosyasında bulunan bir RSA anahtarını kullanarak komut ve kontrol sunucusuna bağlanır. Ardından ana bilgisayarda çalıştırılacak komutların bir listesini almaya çalışır.

Mandiant’ın LDR4’ü inceleyen analistleri, yeni Ursnif varyantından tüm bankacılık özelliklerinin kaldırıldığını ve kodunun temizlenip basitleştirildiğini fark etti.

Araştırmacılar, LDR4’ün bir .DLL dosyası (loader.dll) şeklinde geldiği, taşınabilir çalıştırılabilir şifreleyiciler tarafından paketlendiği ve geçerli sertifikalarla imzalandığı için bazı antivirüs çözümlerinin tespitinden kaçtığı konusunda uyardı.

Bu içeriği beğendiyseniz lütfen çevrenizle paylaşınız…