Kullanıcı Parolalarını Ele Geçiren Zararlı Yazılım Tespit Edildi: Saint Bot

Kimlik avı saldırılarında ve farklı amaçlı zararlı yükleri dağıtmak için kullanılan, daha önce belgelenmemiş bir zararlı yazılım tespit edilmiştir. “Saint Bot” olarak adlandırılan zararlı yazılımın, aktif geliştirme aşamasında olduğuna dair bulgularla birlikte ilk olarak Ocak 2021’de faaliyete geçtiği düşünülmektedir.

Siber saldırı süreci, .LNK kısayol dosyası altında bir PowerShell betiği tetikleyen ve kripto para cüzdanı olduğunu iddia eden gömülü bir ZIP dosyası (“bitcoin.zip”) olarak, oltalama e-posta içerikleri ile başlatılmıştır. Zararlı PowerShell betiği, zararlı yazılım olan “WindowsUpdate.exe” adındaki yürütülebilir dosyayı cihazlara indirmektedir. Bu işlemden sonra ise “def.exe” ve “putty.exe” adlı iki farklı çalıştırılabilir dosyanın cihazlara daha indirilmesini sağlayan, “InstallUtil.exe” adındaki dosya indirilmektedir.

Windows Defender’ı devre dışı bırakmaktan sorumlu olan “InstallUtil.exe”, “putty.exe” sayesinde bir komuta kontrol (C2) sunucusuna bağlanan yükler de çalıştırabilmektedir. Zararlı yazılım tarafından benimsenen ve bulaşmanın her aşamasında bulunan gizlenme yöntemleri, zararlı yazılım operatörlerinin dikkat çekmeden bulaştıkları cihazlardan yararlanmalarına imkan vermiştir.

Saint Bot Tarafından Gerçekleştirilen Ek Faaliyetler:

  • C2 sunucusundan alınan diğer payloadların indirilmesi ve yürütülmesi.
  • Bot zararlısını güncelleme.
  • Makinenin tehlikeye girmesi durumunda kendi kendini imha etme.

Saint Bot, debugger veya sanal makine varlığını doğrulamak için çeşitli kontroller gerçekleştirmekte ve Romanya, Ermenistan, Beyaz Rusya, Kazakistan, Rusya, Ukrayna ve Moldova’nın dahil olduğu Bağımsız Devletler Topluluğu (BDT) ülkelerinde tetiklenmeyecek şekilde tasarlanmıştır.

Kimlik avı dolandırıcılığı yolu ile bulaşan bu zararlı yazılımlara karşı, bilinmeyen/şüpheli göndericiler tarafından iletilen e-posta içeriklerinin ve eklerinin çalıştırılmaması önerilmektedir. Ek olarak güvenilir bir anti-virüs/anti-malware çözümünün kullanılması ve aşağıda paylaşılan IoC bulgularının güvenlik cihazları tarafından engellenmesi tavsiye edilmektedir.

C&C Domain:

update-0019992[.]ru
380222001[.]xyz

Downloader Domain:

68468438438[.]xyz

FileHash-SHA256:

a98e108588e31f40cdaeab1c04d0a394eb35a2e151f95fbf8a913cba6a7faa63
b0b0cb50456a989114468733428ca9ef8096b18bce256634811ddf81f2119274
2d88db4098a72cd9cb58a760e6a019f6e1587b7b03d4f074c979e776ce110403
a4b705baac8bb2c0d2bc111eae9735fb8586d6d1dab050f3c89fb12589470969
63d7b35ca907673634ea66e73d6a38486b0b043f3d511ec2d2209597c7898ae8

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Brandefense ile siber saldırılara karşı önlem alın!