hadicanim
Aktif Üye
Güvenlik nedeniyle, sokakta bulunan bir USB belleği kendi bilgisayarınıza bağlamamak daha iyidir. Unit 42’den (Palo Alto Networks) güvenlik araştırmacıları, kötü amaçlı yazılım PlugX’i bulaştıran USB bellekle karşılaştıklarında bunu bir kez daha doğruladılar.
Tanınmış Truva Atı
PlugX bir Windows PC’ye yayılırsa, bağlı USB veri taşıyıcılarına otomatik olarak saldırmalı ve böylece diğer bilgisayarların önünü açmalıdır. Araştırmacıların raporuna göre, kötü amaçlı yazılım on yıldan fazla bir süredir ortalıkta dolaşıyor ve diğer şeylerin yanı sıra 2015 yılında ABD hükümetine yönelik siber saldırılarda kullanıldığı söyleniyor.
Şimdi PlugX iki varyantta yeniden ortaya çıktı. Truva Atı’nın amacı, gerçekten meşru uygulamalarla DLL tarafından yükleme yoluyla kötü amaçlı kod yürütmektir. İkinci varyant, PDF ve Word belgelerini kopyalamak için tasarlanmıştır.
Sistemlere bulaşmak için PlugX’in güvenilir ve dijital olarak imzalanmış yazılımları ele geçirmesi gerekiyor. Mevcut durumda, bu, Windows x64dbg için açık kaynak hata ayıklama aracı kullanılarak yapılmalıdır. Kötü amaçlı yazılımın, kötü amaçlı olarak kodlanmış X32bridge.dat dosyasıyla kendisini DLL yükleme sürecine bağladığı söyleniyor. Şu anda, 60 tarayıcıdan yalnızca dokuzunun çevrimiçi analiz hizmeti VirusTotal ile başladığı söyleniyor.
Gizli modda
Trojan bulaştıktan sonra daha fazla yayılmak için bağlı USB veri taşıyıcılarına bulaşmalı ve saklanmalıdır. Diğer şeylerin yanı sıra, kötü amaçlı yazılım, Windows’un varsayılan olarak görüntülemediği gizli klasörleri kullanır.
Kampanyanın beyni başka bir kamuflaj hilesi daha kullanıyor: Windows’ta gizli dosyaları gösterme seçeneğini etkinleştirseniz bile Windows Gezgini’nin USB çubuğundaki verileri görüntülemesini engelleyen belirli Unicode karakterleri kullanıyorlar.
Kurbanların çubukta gördüğü tek şey, TESTDRIVE adlı kötü amaçlı yazılımın kısayolu ve çubukta depolanan kendi verileridir. Araştırmacılar, eksiksiz veri yapısının yalnızca bir Unix sistemi ile görünür hale geldiğini açıklıyor.
Şimdi, bir kurban Explorer’da bir USB depolama aygıtı simgesine benzeyen TESTDRIVE adlı Windows kısayol dosyasına tıkladığında, yalnızca diski açıp içinde depolanan dosyaları görmekle kalmıyor, aynı zamanda bilmeden kötü amaçlı yazılımı çalıştırıyor ve teşvik ediyor. çoğalma.
Bağlı USB veri taşıyıcılarına otomatik kötü amaçlı yazılım yüklemesi ile PlugX, kritik altyapılarda internetten ayrılmış (hava boşluğu) sistemlere de gizlice girebilir.
güncellemeler
01/31/2023
11:29
Saat
Kötü amaçlı yazılımın yayılması metinde daha ayrıntılı olarak açıklanmıştır.
(ile ilgili)
Haberin Sonu
Tanınmış Truva Atı
PlugX bir Windows PC’ye yayılırsa, bağlı USB veri taşıyıcılarına otomatik olarak saldırmalı ve böylece diğer bilgisayarların önünü açmalıdır. Araştırmacıların raporuna göre, kötü amaçlı yazılım on yıldan fazla bir süredir ortalıkta dolaşıyor ve diğer şeylerin yanı sıra 2015 yılında ABD hükümetine yönelik siber saldırılarda kullanıldığı söyleniyor.
Şimdi PlugX iki varyantta yeniden ortaya çıktı. Truva Atı’nın amacı, gerçekten meşru uygulamalarla DLL tarafından yükleme yoluyla kötü amaçlı kod yürütmektir. İkinci varyant, PDF ve Word belgelerini kopyalamak için tasarlanmıştır.
Sistemlere bulaşmak için PlugX’in güvenilir ve dijital olarak imzalanmış yazılımları ele geçirmesi gerekiyor. Mevcut durumda, bu, Windows x64dbg için açık kaynak hata ayıklama aracı kullanılarak yapılmalıdır. Kötü amaçlı yazılımın, kötü amaçlı olarak kodlanmış X32bridge.dat dosyasıyla kendisini DLL yükleme sürecine bağladığı söyleniyor. Şu anda, 60 tarayıcıdan yalnızca dokuzunun çevrimiçi analiz hizmeti VirusTotal ile başladığı söyleniyor.
Gizli modda
Trojan bulaştıktan sonra daha fazla yayılmak için bağlı USB veri taşıyıcılarına bulaşmalı ve saklanmalıdır. Diğer şeylerin yanı sıra, kötü amaçlı yazılım, Windows’un varsayılan olarak görüntülemediği gizli klasörleri kullanır.
Kampanyanın beyni başka bir kamuflaj hilesi daha kullanıyor: Windows’ta gizli dosyaları gösterme seçeneğini etkinleştirseniz bile Windows Gezgini’nin USB çubuğundaki verileri görüntülemesini engelleyen belirli Unicode karakterleri kullanıyorlar.
Kurbanların çubukta gördüğü tek şey, TESTDRIVE adlı kötü amaçlı yazılımın kısayolu ve çubukta depolanan kendi verileridir. Araştırmacılar, eksiksiz veri yapısının yalnızca bir Unix sistemi ile görünür hale geldiğini açıklıyor.
Şimdi, bir kurban Explorer’da bir USB depolama aygıtı simgesine benzeyen TESTDRIVE adlı Windows kısayol dosyasına tıkladığında, yalnızca diski açıp içinde depolanan dosyaları görmekle kalmıyor, aynı zamanda bilmeden kötü amaçlı yazılımı çalıştırıyor ve teşvik ediyor. çoğalma.
Bağlı USB veri taşıyıcılarına otomatik kötü amaçlı yazılım yüklemesi ile PlugX, kritik altyapılarda internetten ayrılmış (hava boşluğu) sistemlere de gizlice girebilir.
güncellemeler
01/31/2023
11:29
Saat
Kötü amaçlı yazılımın yayılması metinde daha ayrıntılı olarak açıklanmıştır.
(ile ilgili)
Haberin Sonu