Saldırganlar, Truva atını ekrandan metin okumak için yerleşik Windows yardımcı programıyla değiştirerek yönetici ayrıcalıkları kazanmaya olanak tanıyan bir arka kapı sunmak için meşru NVIDIA yazılımını kullanır.
Bilgi güvenliği uzmanları BlackBerry Cylance bunu bildirdi. Bunun Güneydoğu Asya'daki teknoloji sektörünü organize etmeyi amaçlayan hedefli bir siber kampanya olduğuna inanıyorlar.
“Kötü amaçlı yazılım teknoloji firmalarını hedeflemek için kullanıldı, ve meşru bir NVIDIA uygulaması tarafından yandan yükleme yoluyla dağıtılır. Saldırının bir parçası olarak, Windows'un Truva atı haline getirilmiş bir sürümü’ Anlatıcı ekran okuma aracı, kimlik bilgilerine ihtiyaç duymadan sistemlere uzaktan erişim sağlamak için kullanılıyor”, - BlackBerry Cylance araştırmacılarını rapor edin.
Saldırı, PcShare arka kapısı kurbanının bilgisayarına teslimatla başlıyor. Kötü amaçlı yazılım, meşru uygulamanın bir parçası olarak kimlik avı siteleri aracılığıyla dağıtılır NVIDIA Smart Maximize Yardımcı Sunucusu. Suçlular yerini aldı NvSmartMax.dll PcShare'in değiştirilmiş bir sürümüne sahip kütüphane.
Akışlı yayın ve klavye girişinin dinlenmesiyle ilgili işlevler orijinal arka kapıdan kaldırıldı, ancak iletişim kanalını komut sunucusuyla şifreleme ve proxy'leri atlama yeteneğini eklediler. Meşru bir DLL dosyasını değiştirerek, Siber suçlular, yürütülebilir modülü RAM'e yükleyebilir ve NVIDIA yardımcı programı kapsamında başka bir yük gönderebilir.
“Arka kapı kodu ara komut sunucusunun adresini içerir, kontrol merkeziyle etkileşime geçmek için talimatları saklayan. Böylece, saldırganlar ana bilgisayarın adresini gizler ve, Eğer gerekliyse, trafiği filtrele. Kötü amaçlı yazılımı yaratan kişi, güvenlik radarlarından saklanmak için büyük çaba harcadı”, – araştırmacılar söylüyor.
Kendilerini hedef makineye sabitledikten sonra, saldırganlar Windows ekran okuyucunun işlevlerini taklit eden bir Truva atı gönderir. Ekrandan metin okuyan bir uygulama için, oturum açma işlemi basitleştirilmiştir ve sistem ayrıcalıklarına sahip diğer programların çalışmasına izin verilmektedir. Başlangıçtan sonra, Truva atı meşru bir sesli asistanı etkinleştirir ve onun adına bir iletişim kutusu açar, ve ayrıca klavyedeki eylemleri engelleyen bir işlemi başlatır.
Ayrıca okuyun: Bazı AMD Radeon grafik kartlarının donanım yazılımındaki güvenlik açığı RCE'ye izin veriyor
Kötü amaçlı yazılım, kodda yerleşik olan özel bir parola girmeyi bekler, ve ardından bir komutu veya dosyayı çalıştırmak için bir iletişim kutusu açar. Böylece, Bir siber suçlu, kullanıcı kimlik bilgileri olmadan bile hedef cihazda kod çalıştırabilir: Truva atı penceresini etkinleştirmek için belirtilen anahtarı makineye aktarmanız yeterlidir.
Bu kampanyanın arkasında kimin olduğuna dair kesin bir veri yok. Güvenlik uzmanları PcShare kullanımının, ve saldırıların coğrafyası, siber gruplamayı gösterebilir Tropik Asker, Tayvan ve Filipinler'deki devlet kurumlarına ve sanayi şirketlerine düzenli olarak saldıran.
Yorum Yap