Güvenlik Önerileri
Hala Devam Eden Covid-19 Temalı Sahte E-postalar Avrupa’ya Trojan Yayıyor
Trojanın öne çıkan özellikleri arasında klavye tuşlarına erişim, rastgele komutlar girmek ve ekran görüntüleri almak yer alıyor…
Siber suçluların yeni saldırılarından Nerbian RAT (uzaktan erişimli trojan) İspanya, İtalya ve Britanya’daki hedeflere saldırıyor.
Adını kodundan alan trojan, Don Kişot’taki kurgu yerin adını da akıllara getiriyor. Go programlama dilinde her türlü işletim sisteminde çalışacak şekilde hazırlanan ve 64-bit sistemlere uyumlu trojan, ağlarda tespit edilmemek için birçok şifreleme prosedürünü alt edebiliyor.
Nerbian’ın özellikleri arasında klavye tuşlarına erişim, rastgele komutlar girmek, ekran görüntüleri almak ile verileri uzaktaki bir kumanda ve kontrol (C2) sunucusuna aktarmak yer alıyor. Nerbian RAT’ın arkasındaki suçluların kim olduğu henüz tespit edilebilmiş değil.
Nerbian RAT nasıl yayılıyor?
Nerbian RAT, Covid-19 konseptli e-posta oltalama saldırıları ile yayılıyor. Dünya Sağlık Örgütü (DSÖ) tarafından gönderilmiş süsü verilen e-postalarda Covid-19 ile ilgili bilgiler yer alıyor. E-posta gönderilen kişiler, DSÖ tarafından Covid-19 ile ilgili en son önerileri öğrenmek için bir Word dokümanını açmaya teşvik ederken söz konusu oltalama kampanyasının 26 Nisan 2022’den bu yana devam ettiği belirtildi.
Kullanıcılar söz konusu dokümanı açtıkları zaman karşılarına Covid-19 ile ilgili talimatlar çıkarken arka planda ise kötü amaçlı bir mekanizma devreye giriyor. Golang ile yazılan, 3.5 MB boyutundaki UpdateUAV.exe adlı 64-bit taşıma yükü, sisteme yükleniyor.
Dosya, uzaktan bir sunucu tarafından gönderilen ve Nerbian’ı sisteme bırakan bir taşıyıcı görevi görüyor. Araştırmacılar hem taşıma yükünü ileten aracın hem de trojanın aynı suç unsurları tarafından hazırlandığını, taşıyıcının farklı kötü amaçlı yazılımlar da taşıyabildiğini ifade etti.
Analizleri geçersiz kılabiliyor
Araştırmacılar, Nerbian RAT’in farklı aşamalarda devreye giren ve tehditleri analiz eden prosedürleri geçersiz kılan özellikler taşıdığını kaydediyor. The UpdateUAV.exe taşıyıcısı açık kaynaklı anti-V çerçevesi Chacal’ı kullanıyor. Böylece güvenlik sistemlerinin tersine mühendislik yeteneğini kısıtlıyor, denetimlerin gerçekleştirilmesini önlüyor. Ayrıca güvenlik unsurları veya bellek analiz programları tespit ettiğinde kendi kendini imha edebiliyor.
