Güvenlik araştırmacıları, biri Ursnif veri çalan trojan ve diğeri GandCrab fidye yazılımı olmak üzere, yayılan 2 ayrı kötü amaçlı yazılım kampanyası keşfettiler. 2’si iki ayrı siber suç grubunun eseri gibi görünse de, uzmanlar bunlarda birçok benzerlik görüyorlar. Her iki saldırı da, kötü amaçlı makrolar gömülmüş bir Microsoft Word belgesi içeren kimlik avı e-postaları ile başlıyor. Ardından bulaşmış olan bilgisayara kötü amaçlı yazılımlar gönderiliyor.
Ursnif, banka kimlik bilgilerini toplama, etkinliklere göz atma, tuş vuruşlarını toplama, sistem ve işlem bilgilerini toplama ve ek arka kapılar dağıtabilmek için tipik olarak güvenli bilgisayarlardan gelen hassas bilgileri çalan veri hırsızlığı yapan bir kötü amaçlı yazılım.
Geçen yılın başlarında keşfedilen GandCrab, piyasadaki diğer tüm fidye yazılımları gibi virüslü bir sistemdeki dosyaları şifreleyen ve mağdurların kilidini açmak için dijital para biriminde fidye ödemeleri konusunda ısrar eden yaygın bir ransomware tehdidi. Geliştiricileri, öncelikle izlemesi daha karmaşık olan DASH’de ödeme talep ediyor.
İki kötü amaçlı yazılım tehdidi dağıtan ilk kötü amaçlı yazılım kampanyası , kötü niyetli VBS makrolarına sahip kullanıcıları hedef alan vahşi doğada yaklaşık 180 farklı MS Word belgesi içeren Carbon Black güvenlik araştırmacıları tarafından keşfedildi .
Carbon Black araştırmacıları, “Bu PowerShell betiği, Empire Invoke-PSInject modülünün bir versiyonudur, çok az değişikliğe uğramıştır.” “Komut, base64 olarak kodlanmış gömülü bir PE [Taşınabilir Yürütülebilir] dosyasını alacak ve bunu geçerli PowerShell işlemine ekleyecektir.”
Son yükleme yükü daha sonra mağdurun sistemine bir GandCrab fidye yazılımı çeşidi kurar ve sistemlerini hane para birimi cinsinden fidye ödeyene kadar kilitliyor.
Bu kötü amaçlı yazılım saldırısı aynı zamanda hedefli sistemleri birden fazla aşamada tehlikeye atıyor, phishing e-postalarından, kötü niyetli PowerShell komutlarını çalıştırmaya ve asılsız bir kalıcılık kazanmak için Ursnif veri hırsızlığı yapan bilgisayar virüsünü indirip yüklemeye kadar başlıyor.
Kaynak : 