QBot Kötü Amaçlı Yazılım, Virüslü Bilgisayarlara Yük Dağıtmak İçin Windows Hesap Makinesini Kullanıyor

QBot kötü amaçlı yazılım operatörleri, Windows Hesap Makinesi'ni kullanarak, kötü amaçlı yüklerini güvenliği ihlal edilmiş bilgisayarlara dışarıdan yükleyebilir. Kısacası, Windows Hesap Makinesi tehlikeli kodu dağıtmak için kullanılıyor.

DLL side-loading olarak bilinen saldırı yöntemi, Dinamik Bağlantı Kitaplıkları'nın (DLL) düzenlenme biçiminden yararlanmak için Windows'ta sıklıkla kullanılan bir saldırı biçimidir.

Kimlik sahtesi DLL, meşru bir DLL kimliğinin varsayılması, yanlış DLL'nin bir işletim sistemi dizinine yerleştirilmesi ve yüklemek için gerçek DLL yerine yanlış DLL kullanılmasıyla oluşturulur.

QBot (namıdiğer Qakbot) başlangıçta bir bankacılık truva atıdır, ancak Windows sistemlerine saldıran daha kalıcı bir kötü amaçlı yazılım türüne dönüştüğü için bir kötü amaçlı yazılım damlalığına dönüşmüştür.

Enfeksiyon Zinciri

Fidye yazılımı çeteleri saldırılarını başlattığında, Cobalt Strike işaretçileri, bu kötü amaçlı yazılım tarafından gerçekleştirilen bir işlem olan saldırının ilk adımıdır.

Şu anda, Windows 7 Hesap Makinesi uygulaması, 11 Temmuz'dan bu yana DLL yandan yükleme saldırıları gerçekleştirmek için QBot tarafından kullanılmaktadır. Malspam kampanyaları, spam göndermek için hala bu yöntemi kullanmaktadır.

Cyble'daki araştırmacılar tarafından savunucuların bu yeni tehdide karşı korunmalarına yardımcı olmak için yeni bir QBot enfeksiyon zinciri bildirilmiştir.

En son kampanyada, içinde HTML dosyası bulunan e-postalar kullanıldı. Bu HTML dosyası eki, en son kampanyada kullanılan e-postalara eklenmiş bir ISO dosyası içeren parola korumalı bir ZIP arşivi indirir.

ZIP dosyasıyla birlikte gelen bir HTML dosyası, ZIP dosyasını açmak için kullanılabilecek bir parola içerir. Arşivi kilitleyerek virüsten koruma yazılımı tarafından algılanmaktan kaçınmak amaçlanmıştır.

ISO'da yer alan birkaç şey var ve burada hepsinden bahsettik:

• Bir .lnk dosyası
• Meşru bir calc.exe
• WindowsCodecs.dll
• 7533.dll

ISO dosyasını monte ettikten sonra, kullanıcı yalnızca .ISO dosyasında bulunan LNK dosyası. Bu kötü amaçlı dosya, önemli bilgiler içeren bir PDF dosyası veya Microsoft Edge tarayıcı belgesi gibi görünecek şekilde gizlenmiştir.

Dosyaların özellikler iletişim kutusunda, kısayol Windows'un Hesap Makinesi uygulamasına işaret eder. Kısayolu tıklattığınızda, bir komut istemi penceresi açılır ve Calc.exe dosyasını çalıştırmanız istenir.

Meşru bir WindowsCodecs DLL dosyası ilk başlatıldığında otomatik olarak aranır ve yüklendiğinde Windows 7 Hesap makinesi tarafından yüklenmeye çalışılır.

Öneriler

Windows 10 Calc.exe ve sonraki sürümler artık DLL tarafı yükleme güvenlik açığını desteklememektedir. Bu nedenle tehdit aktörleri Windows 7 sürümünü hedef alıyor. Güvenlik analistleri tarafından önerilen azaltıcı etkenler şunlardır:

• Bilinmeyen veya alakasız gönderenler tarafından gönderilen e-postalar açılmamalıdır.
• Korsan yazılımları güvenilmez kaynaklardan indirmemeniz önerilir.
• Parolalar güçlü ve benzersiz olmalıdır.
• Çok faktörlü bir kimlik doğrulama sistemi uygulanmalıdır.
• Belirli aralıklardan sonra, parolalarınızı güncel tutmak için güncellediğinizden emin olun.
• Her zaman güvenilir ve sağlam anti-virüs yazılımı ve araçları kullanın.
• E-postalarda aldığınız bağlantıların veya eklerin orijinalliğini açmadan önce doğruladığınızdan emin olun. 
    
  Torrentler ve warez gibi kötü amaçlı yazılımları yaymak için kullanılabilecek URL'lerin engellendiğinden emin olun.  
• Ağ düzeyinde kötü amaçlı yazılımlar veya Truva atları tarafından veri sızmasını önlemek için işaretçiyi izlemeniz gerekir.
• Çalışanlarınıza, verilerini zarardan koruyan bir Veri Kaybı Önleme (DLP) çözümü sağlayın.

Vereceğim öneriler bu kadardı yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.