Saldırganların gerçek gibi görünen dosyalar ve görev zamanlayıcısı içerisinde gizlenerek yeni bir saldırı yöntemine başvurduğu ortaya çıktı.
Huntress Labs’a göre bir sistemi ele geçiren saldırganlar, Windows’un hata günlük dosyalarına benzer görünen bir dosyayı kullanarak kod dosyası tabanlı saldırılara hazırlık yapıyor. Huntress Labs’ın kurucusu ve başkan yardımcısı John Ferrell, ilk bakışta bir uygulamanın günlük dosyası gibi görünen ve OS 6.2 (Windows 8 ve Windows Server 2012’nin dahili sürüm numarası) referansları bulunan dosyanın, aslında kötü niyetli olduğunu fark ettiklerini söylüyor.
Sahte günlük dosyası, aslında gizlenmiş onaltılık değerler içeren ASCII karakterleri içerisinde barındırıyor. Bu sahte günlük dosyasının kodları çözüldüğünde, ortaya saldırganın elindeki komut ve kontrol sunucusuna bağlanmaya ve talimat almaya yarayan kod dosyası oluşuyor.
Ferrel’e göre veri, hedefteki sistemde oluşturulan bir zamanlanmış görev ile elde ediliyor. Burada da gerçek dosyalara benzeyen .exe dosyası isimleri kullanılıyor. Bunlar arasında geçmişte kötüye kullanıldığı bilinen mshta.exe’nın kopyası BfeOnService.exe ve powershell.exe’nin kopyası engine.exe bulunuyor. Bu araçları kötüye kullanarak sistemdeki web tarayıcısı, vergi yazılımı, güvenlik yazılımı ve PoS yazılımı hakkında bilgiler toplanıyor. Saldırganın bu saldırılarla neyi amaçladığı ise henüz bilinmiyor.
Kaynak: CHIP Online