E-posta Saldırılarında ZPAQ Sıkıştırmasını Kullanan Yeni Ajan Tesla Kötü Amaçlı Yazılım Varyantı

G Data kötü amaçlı yazılım analisti Anna Lvova Pazartesi günü yaptığı bir analizde, "ZPAQ, ZIP ve RAR gibi yaygın olarak kullanılan formatlara kıyasla daha iyi bir sıkıştırma oranı ve günlük kaydı işlevi sunan bir dosya sıkıştırma formatıdır" dedi.

"Bu, ZPAQ arşivlerinin daha küçük olabileceği, dosya aktarırken depolama alanından ve bant genişliğinden tasarruf edebileceği anlamına geliyor. Ancak ZPAQ'ın en büyük dezavantajı var: sınırlı yazılım desteği."

İlk olarak 2014 yılında ortaya çıkan Agent Tesla, hizmet olarak kötü amaçlı yazılım (MaaS) modelinin bir parçası olarak diğer tehdit aktörlerine sunulan, .NET ile yazılmış bir keylogger ve uzaktan erişim truva atıdır (RAT).

Genellikle birinci aşama yükü olarak kullanılır, güvenliği ihlal edilmiş bir sisteme uzaktan erişim sağlar ve fidye yazılımı gibi daha karmaşık ikinci aşama araçları indirmek için kullanılır.

Ajan Tesla, genellikle kimlik avı e-postaları yoluyla gönderilir ve son kampanyalar, Microsoft Office'in Denklem Düzenleyicisi'ndeki (CVE-2017-11882) altı yıllık bir bellek bozulması güvenlik açığından yararlanır.

En son saldırı zinciri, bir PDF belgesi olduğu iddia edilen bir ZPAQ dosya eki içeren bir e-postayla başlar ve geleneksel güvenlik önlemlerini atlamak için örnek boyutunu yapay olarak 1 GB'a şişirmek için çoğunlukla sıfır baytla doldurulmuş şişirilmiş bir .NET yürütülebilir dosyasını ayıklar.

Lvova, "Arşivlenmemiş .NET yürütülebilir dosyasının ana işlevi, .wav uzantılı bir dosyayı indirmek ve şifresini çözmektir" dedi. "Yaygın olarak kullanılan dosya uzantılarını kullanmak, trafiği normal şekilde gizleyerek ağ güvenlik çözümlerinin kötü amaçlı etkinlikleri tespit etmesini ve önlemesini zorlaştırıyor."

Saldırının nihai amacı, uç noktaya meşru bir kod koruma yazılımı olan .NET Reactor ile gizlenmiş Agent Tesla'yı bulaştırmaktır. Komuta ve kontrol (C2) iletişimleri Telegram üzerinden gerçekleştirilir.

Gelişme, tehdit aktörlerinin kötü amaçlı yazılım dağıtımı için alışılmadık dosya biçimlerini denediğinin bir işaretidir ve kullanıcıların şüpheli e-postalara karşı tetikte olmalarını ve sistemlerini güncel tutmalarını gerektirir.

Lvova, "ZPAQ sıkıştırma formatının kullanımı, cevaplardan daha fazla soru ortaya çıkarıyor" dedi. "Buradaki varsayımlar, tehdit aktörlerinin teknik bilgiye sahip belirli bir grup insanı hedef aldığı veya daha az bilinen arşiv araçlarını kullandığı veya kötü amaçlı yazılımları daha hızlı yaymak ve güvenlik yazılımlarını atlamak için diğer teknikleri test ettikleri yönünde."

 

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği