Son zamanlarda, Excel dosyası görünümlü bir dosya kullanarak gerçekleştirilen bir hack yöntemi, siber dünyada hızla yayılmaya başladı. Araştırmacılar, bu yeni saldırı biçiminin, özellikle “sipariş” temalı kimlik avı e-postaları aracılığıyla yaygınlaştığını belirledi. Hackerlar, bu e-postalarla hedef kullanıcıları kandırarak zararlı yazılımları sistemlerine sızdırmaya çalışıyorlar.
Bu e-posta içeriklerinde yer alan Microsoft Excel dosyası, aslında, Office yazılımında bulunan bir uzaktan kod yürütme açığını (CVE-2017-0199) istismar etmek üzere tasarlanmış. Açık tetiklendiğinde, dosya, hedef sistemden uzak bir sunucudan HTML Uygulaması (HTA) dosyasını indirip, mshta.exe kullanarak çalıştırıyor. Bu, hackerların sistem üzerinde kontrol kazanmasını sağlıyor.
İndirilen HTA dosyası, aynı sunucudan ikinci bir zararlı yazılımı yüklemek için tasarlanmış ve burada anti-analiz ile anti-hata ayıklama süreçlerini devreye sokuyor. Bu sürecin sonrasında ise, Remcos RAT (uzaktan erişim aracı) cihazın belleğine yükleniyor ve çalıştırılıyor. Bu durum, hackerların sistem üzerinde daha derin bir kontrol sağlamasına olanak tanıyor.
ÖNCEDEN KÖTÜ AMAÇLI YAZILIM LİSTESİNDE DEĞİLDİ
Remcos, başlangıçta yasadışı bir yazılım olarak kabul edilmemekteydi; yasal bir ticari yazılım olarak uzaktan yönetim görevleri için geliştirilmişti. Ancak zamanla, siber suçlular tarafından kötüye kullanılması nedeni ile kötü amaçlı yazılım olarak anılmaya başlandı. Cobalt Strike gibi araçlarla birlikte, günümüzde uzaktan erişim, veri hırsızlığı ve casusluk gibi saldırılarla ilişkilendirilmekte.
Yetkililerin açıkladığına göre, hackerların kullandığı bu yeni Remcos sürümü, cihazın belleğine doğrudan yükleniyor. Bu durum, Remcos dosyasının bir yerel dosya olarak kaydedilmesi ve daha sonra çalıştırılmasından kaçınılarak, doğrudan mevcut işlemin belleğine yerleştirilmesi ile gerçekleşiyor. Bu yaklaşım, saldırının tespit edilmesini daha da zorlaştırmakta ve sistemin güvenliğini tehlikeye atmaktadır.
