Excel Dosyalarında Gizlenen Yeni Bir Kötü Amaçlı Yazılım Keşfedildi (E-Postalarınızdaki Excel’leri İki Kez Kontrol Edin)
Artık klasikleşen phishing yoluyla gönderilen Excel evraklarında gizlenen yeni bir makus emelli yazılım keşfedildi.
Son devirde giderek yaygınlaşan yeni bir berbat maksatlı yazılım direkt Excel evraklarında saklanıyor. Fortinet’in yaptığı araştırmaya nazaran makûs niyetli şahıslar Excel evraklarını kullanarak Remcos Uzaktan Erişim Truva Atı’nın (RAT) belgesiz bir sürümünü dağıtıyor. Bu yeni berbat emelli yazılımın gayesi ise şaşırtan olmayan bir formda kullanıcıların hassas bilgilerini ele geçirmek.
Yeni atak usulü, kullanıcıların dikkatini çekmek için geçersiz satın alım siparişleri içeren phishing diye bildiğimixz e-postalar gönderilmesiyle başlıyor. E-posta ekinde Microsoft Office uygulamasında bulunan ve CVE-2017-0199 koduyla bilinen bir güvenlik açığından yararlanan bir Excel evrakı yer alıyor.
Yeni atak metodu nasıl gerçekleşiyor?
Bu evrak açıldığında sistem, uzaktaki bir sunucudan bir HTML Uygulaması (HTA) belgesi indiriyor ve bu evrak mshta.exe aracı kullanılarak başlatılıyor. Bu süreç sonucunda sunucudan ikinci bir yük indiriliyor ve bu yük, tahlil ve kusur ayıklama tespitini önleyerek Remcos RAT’ın kurulmasına imkan sağlıyor.
Remcos RAT, temelinde yasa dışı bir yazılım olarak geliştirilmemişti. Birinci olarak yasal yollardan uzaktan idare üzere vazifelerde kullanılmak üzere geliştirilmiş bir yazılımdı fakat tıpkı Cobalt Strike üzere berbat niyetli şahıslar tarafından ele geçirilerek makus hedefli faaliyetlerde kullanılmaya başlandı.
Remcos RAT neler yapabiliyor?
Günümüzde ise Remcos yetkisiz erişim sağlamak, data çalmak ve casusluk emeliyle kullanılan bir araç hâline geldi. Remcos RAT bulaşmış bir bilgisayardaki klavye hareketleri kaydedilebilir, ekran imgeleri alınabilir ve komut çalıştırılabilir.
Yeni yolda kullanılan Remcos sürümü evraksız bir yapıya sahip. Fortinet, saldırganların Remcos’u direkt gaye aygıtın belleğine yerleştirdiğini belirtiyor. Böylelikle kolay kolay fark edilmiyor ve tespit edilemiyor.