Kedi RAT, Citrix Utility ile birleştirilmiş ve Gmail alt yapısını kullanmış

Kedi RAT, Citrix Utility ile birleştirilmiş ve Gmail alt yapısını kullanmış
Eylül 18 20:16 2017 Yazıyı Yazdır

Sophos’daki BT güvenlik araştırmacıları, Kedi adı verilen ve hedeflenen bilgisayardan veri çalmak için Gmail’i kullanan yeni bir RAT (Remote Access Trojan) keşfettiler.

Bu zararlı yazılım spear phishing mekanizmasına dayanarak yayılıyor. Etkilenen e-posta, C# dilinde yazılmış 32-bit Mono / .NET Windows çalıştırılabilir dosyasını açıyor. Kötü amaçlı yazılım Citrix Utility programı içerisine gizleniyor, hedeflenen aygıta saldırdığında kendisini bir Adobe dosyası haline getiriyor ve kendini Adobe’un %Appdata% dizinindeki klasörüne yüklüyor.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run “Adobe Updates” = c:\Users\<username>\AppData\Roaming\Adobe\reader_sl.exe

Enjeksiyon sonrası:

HKCU\Software\Microsoft\Windows\CurrentVersion\Themes\DefaultVisualStyle “HR” = <md5 of machine name>

Kedi RAT, güvenlik tarayıcılarından kaçabiliyor ve komuta-control (C&C) sunucusu ile bağlantı oluşturmak için Gmail’i kullanıyor. Kedi RAT’i asıl amacı veri çalmaktır. Kötü amaçlı yazılım, AntiVM / anti-sandbox özellikleri ile donatılmış, arka kapıları yükleyebilir ve indirebilir, bir keylogger görevi görebilir, ekran görüntüleri yakalayabilir, gömülü yükleri çalıştırabilir ve çıkartabilir. Bununla birlikte kullanıcı adlarını, etki alanlarını (domain) ve bilgisayar kimliklerini ayıklayabilir.

Bu işlevlerden hiçbiri olağanüstü bir şey değil, ancak onu daha farklı ve daha verimli hale getiren şey, DNS ve HTTPS isteklerini de kullanabilen komuta-kontrol  sunucusu ile iletişim kurmak için Gmail’in temel HTML sürümünü ana kaynak olarak kullanabilmesidir.

Malware, Gmail aracılığıyla, saldırganlardan işlevlerini yerine getirmesi için gelen talimatları alır; bunun yanı sıra gelen kutusuna gider, son okunmamış iletiyi bulur, iletinin içeriğini ileti gövdesinden alır ve bu içeriğin komutlarını ayrıştırır. Komuta-kontrol sunucusuna bilgi göndermek için, göndermek istediği mesaj verisini base64 ile kodlar, alınan mesaj verisini kodlamış olduğu mesaj verisi ile yanıtlayıp gönderir.

Kedi’nin başka yaygın kampanyalarda yer alıp almayacağı belli değil, ancak yakında daha fazla kullanıcıyı hedeflemeye başlaması da mümkün görünüyor.

 

Gönderen: Murat Yeşiltepe
  Etiketler:
  Kategori:
daha fazla yazı

Yazar Hakkında

H4ck Times
H4ck Times

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.