Yeni Bir Hack Yöntemi: Excel Dosyası Görünümünde Kötü Amaçlı Yazılım
Son dönemde, Excel dosyası görünümünde hazırlanan bir kötü amaçlı yazılım yayılmaya başladı. Araştırmacılar, bu yeni hack yönteminin detaylı bir teknik analizini gerçekleştirdi ve hackerların “sipariş” temalı kimlik avı e-postaları aracılığıyla bu saldırıları gerçekleştirdiğini ortaya koydu.
Bu e-postalara ekli olan Microsoft Excel dosyası, Microsoft Office’te bulunan bir uzaktan kod yürütme açığını (CVE-2017-0199) istismar etmek amacıyla tasarlanmış. Bu açık tetiklendiğinde, dosya, kötü niyetli bir uzak sunucudan HTML Uygulaması (HTA) dosyasını indirip, mshta.exe aracılığıyla çalıştırıyor.
İndirilen bu HTA dosyası, aynı sunucu üzerinden ikinci bir zararlı yazılımı yükleyerek, anti-analiz ve anti-hata ayıklama süreçlerini devreye sokuyor. Tüm bu aşamaların ardından, Remcos RAT (uzaktan erişim aracı) yükleniyor ve etkinleştiriliyor.
Önceden Kötü Amaçlı Yazılım Listesinde Değildi
Remcos, başlangıçta kötü amaçlı yazılım olarak kabul edilmiyordu. Aslında, yasal bir ticari yazılım olarak uzaktan yönetim görevleri için geliştirilmişti. Ancak, Cobalt Strike gibi, bu yazılım da siber suçlular tarafından kötüye kullanılmaya başlandı ve günümüzde izinsiz erişim, veri hırsızlığı ve casusluk gibi kötü niyetli amaçlarla anılmaya başladı.
Hackerlar tarafından kullanılan bu yeni sürüm, cihazın belleğine doğrudan yükleniyor. Fortinet, bu durumu şöyle açıklıyor: “Remcos dosyasını yerel bir dosya olarak kaydetmek ve çalıştırmak yerine, doğrudan mevcut işlemin belleğine yerleştiriyor.” Başka bir deyişle, bu sürüm, dosyasız bir Remcos varyantı olarak karşımıza çıkıyor.
Kaynak: Sözcü
