Saldırganların gerçek üzere görünen belgeler ve vazife zamanlayıcısı içerisinde gizlenerek yeni bir hücum yoluna başvurduğu ortaya çıktı.

Huntress Labs’a nazaran bir sistemi ele geçiren saldırganlar, Windows’un cürüm günlük evraklarına benzeri görünen bir belgeyi kullanarak kod belgesi tabanlı hücumlara hazırlık yapıyor. Huntress Labs’ın kurucusu ve yönetici yardımcısı John Ferrell, birinci bakışta bir tatbikin günlük evrakı üzere görünen ve OS 6.2 (Windows 8 ve Windows Server 2012’nin dahili sürüm numarası) referansları bulunan belgenin, aslında makûs niyetli olduğunu fark ettiklerini söylüyor.

Geçersiz günlük evrakı, aslında gizlenmiş onaltılık kıymetler içeren ASCII karakterleri içerisinde barındırıyor. Bu geçersiz günlük evrakının kodları çözüldüğünde, ortaya saldırganın elindeki komut ve denetim sunucusuna bağlanmaya ve talimat almaya yarayan kod belgesi oluşuyor.

Ferrel’e nazaran data, amaçtaki sistemde oluşturulan bir zamanlanmış hizmet ile elde ediliyor. Burada da gerçek belgelere benzeyen .exe evrakı isimleri kullanılıyor. Bunlar arasında geçmişte berbata kullanıldığı bilinen mshta.exe’nın kopyası BfeOnService.exe ve powershell.exe’nin kopyası engine.exe bulunuyor. Bu araçları berbata kullanarak sistemdeki web tarayıcısı, vergi yazılımı, güvenlik yazılımı ve PoS yazılımı hakkında malumatlar toplanıyor. Saldırganın bu ataklarla neyi amaçladığı ise şimdi bilinmiyor.

Kaynak: CHIP Online

Cumhuriyet