MikuBot – Hassas Verileri Çalıyor, Gizli VNC Oturumları Başlatıyor

Cyble Research Labs'deki uzmanlar tarafından "MikuBot" adlı bir siber suç forumunda yeni bir kötü amaçlı yazılım botu keşfedildi.

Mikubot esas olarak hassas verileri çalmak veya çalmak amacıyla gizli VNC oturumları başlatmak için tasarlanmıştır. Sadece bu değil, aynı zamanda tehdit aktörlerinin aşağıdaki eylemleri gerçekleştirmelerine de izin verir:

• Kurbanın makinesine uzaktan erişim.
• Enfeksiyonun USB cihazları aracılığıyla yayılması.
• Diğer kötü amaçlı yazılım programları İnternet'ten indirilebilir.
• Diğer kötü amaçlı yazılımlar da yürütülebilir.

C++, botun yazıldığı dildir ve Windows işletim sisteminin tüm sürümlerinde çalışmak üzere tasarlanmıştır. Kötü amaçlı yazılımın çalışması için herhangi bir üçüncü taraf uygulamasına bağımlılık yoktur ve bağımsız bir uygulama gibi davranır. Tehdit aktörlerinin MikuBot'a şunları sağladığı da belirtilmelidir:

• Yazılım desteği tam olarak sağlanır.
• Danışmanlık hizmetleri.
• Yeni özellikler.
• Şifrelemeler.
• Duyarlı yönetim.

İstihdam Edilen TTP'ler

Antivirüs ürünleri tarafından algılanmamak için, kötü amaçlı yazılım aşağıdaki yöntemleri kullanır:

• Şifrelenmiş dizeler.
• Dinamik API işlevleri.
• Benzersiz nesne adları.
• Anti-emülasyon yöntemleri ve püf noktaları.

Tehdit aktörlerinin MikuBot'u Panelli olarak sattığı fiyat, aşağıda listelenmiştir, sınırlı bir süre için:

• $1300 (1,5 aylık)
• $2200 (3 aylık)

Teknik Analiz

Kötü amaçlı yazılım dosyası, kötü amaçlı yazılım dosyasının kaynak bölümünde bulunan RCData bölümünde şifrelenmiş yüke sahiptir. Kötü amaçlı yazılım dosyası yürütüldüğünde, kaynak bölümüne erişir ve şifrelenmiş yükü oradan alır.

Bunu takiben, kötü amaçlı yazılım UPX yükünü sistemin belleğine yükler ve yürütür. Bu kod bellekte açıldıktan sonra, kötü amaçlı yazılım kodun değiştirilmesini önlemek için bir muteks oluşturur.

Bu kötü amaçlı yazılımı her 10 dakikada bir yürütmek için, kötü amaçlı yazılım bu muteksin adıyla bir görev zamanlayıcı girişi oluşturur ve her seferinde kötü amaçlı yazılımı yürütmek için kullanır.

Kurbandan hassas bilgileri çalarak, kötü amaçlı yazılım bunu kötü amaçlı yazılımı barındıran komut ve kontrol sunucusuna gönderir.

Finansal dolandırıcılık genellikle siber suçlular tarafından yeraltı forumlarından ve özel beceriler gerektirmeyen eklenti hizmetlerinden satın alınan kötü amaçlı yazılımların yardımıyla gerçekleştirilir. -alıntı

Bireyler ve kuruluşlar, kötü amaçlı yazılım botlarının ve hizmetlerinin satışı nedeniyle siber saldırılara ve finansal sahtekarlığa karşı daha savunmasızdır. Şu anda, MikuBot, projede yoğun olarak yer alan tehdit aktörleri nedeniyle sınırlı işlevselliğe sahip olacak.

MikuBot'un gelecekte daha sofistike hale gelmesini bekleyebiliriz, çünkü yöntemlerini sürekli geliştiriyorlar ve teknolojilerini geliştiriyorlar.

Öneriler

Aşağıda, tüm önerilerden bahsettik:

• Güvenmediğiniz kaynaklardan dosya indirmeyin.
• Düzenli aralıklarla tarama geçmişinizi temizlemeli ve şifrenizi sıfırlamalısınız.  
• Bilgisayarınızın, mobil aygıtınızın ve İnternet'e bağlı tüm aygıtların yazılımlarını otomatik olarak güncelleştirecek şekilde ayarlandığından emin olun. 
• İyi bir üne sahip bir anti-virüs ve internet güvenliği ürünü kullandığınızdan emin olun.
• Güvenilmez olma ihtimaline karşı açmadan önce e-posta eklerinin ve bağlantılarının orijinalliğini doğruladığınızdan emin olun.  
• Çalışanların kimlik avı ve tanımadıkları URL'ler gibi tehditlerden korunabilmeleri için çalışanların bu konuda eğitilmesi gerekir. 
• Kötü amaçlı yazılımları dağıtmak için kullanılabilecek URL'leri, örneğin torrentleri, warez dosyalarını vb. engellediğinizden emin olun. 
• Kötü amaçlı yazılımların veya Truva atlarının onlardan veri sızdırmaması için ağ düzeyindeki işaretçilere dikkat edin. 
• Tüm çalışanların bilgisayarlarının bir Veri Kaybını Önleme (DLP) çözümüyle donatıldığından emin olun.

Vereceğim öneriler bu kadardı yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.