Xworm 3.1 kötü amaçlı yazılımı PDF ile dağıtılıyor!
İşimizde ve özel hayatımızda sıklıkla karşılaştığımız, kullandığımız PDF dosyalarının tehdit aktörleri tarafından sıklıkla kullanıldığı ve kimlik avı saldırılarında, bilgisayarları ele geçirmede, kötü niyetli dosyaları dağıtmada hala en basit yol olduğu biliniyor.
Bu kez SonicWall Capture Labs tehdit araştırma ekibi, PDF’in Xworm 3.1 kötü amaçlı yazılımını dağıtmak için kullanıldığını gözlemledi ve zararlının hedefe nasıl bulaştığı, neler yapabildiğine dair inceleme paylaştı.
24 Nisan 2023 tarihli bu incelemin orjinaline Sonicwall Security Center haber alanından ulaşılabilir. Aşağıda bu incelemenin özet içeriğini ziyaretçilerimiz için paylaşmaktayım. Daha fazla bilgi için Sonicwall Security Center web sitesini ziyaret edin.
Enfeksiyon Döngüsü:
Kurban, gerçek bir fatura eki gibi görünen ekli kötü amaçlı bir PDF dosyası içeren bir kimlik avı e-postası alır. PDF dosyası açıldığında “pdf dosyasına sağ tıklayın ve net fatura için bağlantıyı açın” notu ile bulanık bir fatura görüntüsü gösteriyor.
Kullanıcı pdf’deki bağlantıyı tıkladığında, bağlantı tarayıcıda açılır ve kullanıcının izni olmadan kötü amaçlı bir yürütülebilir dosya indirir. İndirilen yürütülebilir dosya, normal bir fatura gibi görünmesi için Invoicedav4564 olarak adlandırılmıştır.
İndirilen PE dosyası, analizi önlemek için SmartAssembly gizlenmiş bir dotNet dosyasıdır. Kullanıcı bir faturayı dikkate alarak indirilen dosyayı açmaya çalıştığında kötü niyetli PE yürütmeye başlar. svchost adlı bir klasör ve aynı zamanda svchost.exe olarak dosya adı oluşturduktan sonra kendi kendini %Appdata% klasörüne kopyalar.
Kalıcılık için, bırakılan konumdan 1 dakikalık yineleme süresi ayarıyla “Nafifas” adlı bir görev planlar ve bu, meşru sistem işlem adıyla svchost klasöründen yeni işlemin fark edilmeden kalmasını tetikler.
Şifresi çözülmüş PE dosyası, bir dizi kötü amaçlı görevle birlikte gelen bir RAT olan Xworm3.1 yüküdür; Xworm’un bu sürümü, sorunsuz yürütme için PreventionSleep gibi diğer RAT’lara benzer API’ler kullanır. Aynı anda birden çok kötü niyetli etkinliği gerçekleştirmek için Mutex ve içerik değiştirme de oluşturur.
Ardından, aşağıdaki temel ayrıntılar için dizelerin şifresini çözer:
hxxp[:]//david1234[.]duckdns[.]org/
Port :7000
Key :123456789
SPL : Xwormmm
USBNM : USB.exe
Kötü amaçlı yazılım, sistemde varlığını sürdürmek ve fark edilmeden kalmak için root\SecurityCenter2 adlı WMI ad alanında kurulu antivirüs ürünlerini kontrol eder.
Kullanıcı hesabı denetimini(UAC) atlatmak ve istenen tüm görevleri gerçekleştirebilmesi için geçerli rol profilini kontrol ederek yönetici hesabı yetkileriyle çalışmasını sağlar.
Kötü amaçlı yazılım, C&C’den (Komuta merkezinden) buna göre komutlar almak için işletim sistemi sürümü ve yüklü sürümü gibi bilgisayarın mevcut durumu hakkındaki tüm bilgileri paylaşır.
Windows ve MAC gibi farklı işletim sistemleri için C&C ile iletişim kuracak belirli kullanıcı aracıları vardır.
Çalışan işlemleri izlemeye başlar, web isteklerini kullanarak detayları sunucuyla paylaşır ve GET yöntemini kullanarak yanıt olarak komutlar alır.
Tüm tuş vuruşlarını yakalayan Xlogger adlı bir keylogging modülüne sahiptir. Xlogger aşağıdaki API’leri kullanır:
GetActiveWindowTitle
GetForegroundWindow
GetWindowThreadProcessId
GetProcessById
HookCallback
GetKeyState
Aşağıdaki şekilde gösterildiği gibi HookCallback işlevindeki tüm tuş vuruşlarını yakalar.
Soket bağlantısını kurduktan ve sistem üzerinde tam kontrol sahibi olduktan sonra, aşağıdakiler gibi herhangi bir kritik görevi gerçekleştirebilir:
- ekran kaydı
- Herhangi bir uygulamayı kurma/kaldırma/güncelleme
- Herhangi bir URL’yi Aç/Gizle
- Bilgisayarı Kapatma
- PC’yi yeniden başlatma
- PCOturumu Kapatma
- Başlat DDos
- DDos’u Durdur
- Raporu Başlat
- XChat (kurbanla Xworm sohbet seçeneği)
Kötü amaçlı yazılım, USB yoluyla solucan olarak yayılan yayılma adlı özel bir işleve sahip olduğu için Xworm olarak adlandırılmış olmalıdır. Sistemdeki tüm sürücüleri arar ve kontrol eder.
- çıkarılabilir sürücü tipi
- USB olarak sürücü adı
Ardından mevcut çalışma dizinini arar ve kısayol oluşturur.
Dosya, bu blog yazıldığı sırada popüler tehdit istihbaratı paylaşım portalı VirusTotal’da yalnızca birkaç Antivirüs sağlayıcısı tarafından algılandı, bu durum, dosyanın yayılma potansiyelini gösteriyor:
Sonicwall RTDMI(tm) motoru tarafından algılamanın kanıtı, bu dosya için ATP Yakalama raporunda aşağıda görülebilir: