Araştırmacılar, JSSLoader Remote Access Trojan'ın yeni bir sürümünü kötü amaçlı Microsoft Excel Adlins üzerinden dağıtılıyor.
Belirli bir sıçan (Uzaktan Erişim Trojan), 2020'den bu yana vahşi doğada, "Carbanak" olarak da bilinen finansal olarak motive olan Rus Hack Topluluğu Fin7 ile bağlantılı olarak dolaşmıştır.
JSSLoader, veri exfiltrasyonu gerçekleştirebilecek, kalıcılık, ilave yükler oluşturabilecek, kendisini otomatik olarak güncelle ve daha fazlasını yapabilen küçük, hafif bir sıçandır.
JSSLOADER'in gizli bir yeni sürümünü içeren en son kampanya, Teslimat mekanizmasının şu anda XLL veya XLM ekleri ile kimlik avı e-postaları olduğunu söyleyen Morphisec Labs'teki tehdit analistleri tarafından gözlendi.
Excel XLL eklentilerinin kötüye kullanılması yeni değil, genellikle bir çalışma sayfasına veri içe aktarma veya Excel'in işlevselliğini genişletmek gibi meşru amaçlar için yaygın olarak kullanıldığı için.
Bununla birlikte, devam eden kampanyada, tehdit aktörleri imzasız bir dosya kullanır, bu nedenle Excel, kurbanı, yürütme riskleri hakkında net bir uyarı gösterecektir.
Etkinleştirildiğinde, XLL dosyaları, kendisini belleğe yüklemek için bir Xlautoopen işlevinin içindeki kötü amaçlı kodları kullanır ve ardından yükü uzak bir sunucudan indirin ve bir API araması aracılığıyla yeni bir işlem olarak çalıştırın.
Tehdit oyuncusu, tüm ağdaki algılama bilgilerini birleştiren EDR'leri önlemek için XLL dosyalarındaki kullanıcı aracısını düzenli olarak yeniler.
Daha eski sürümlerle karşılaştırıldığında, yeni JSSloader aynı yürütme akışına sahiptir, ancak şimdi tüm fonksiyonları ve değişkenleri yeniden adlandırmayı içeren yeni bir Dize Offuscation katmanı ile birlikte gelir.
Savundurucular tarafından kullanılan dize tabanlı Yara kurallarından algılanmayı kaçırmak için, yeni sıçan dizeleri alt dizelere böldü ve çalışma zamanında onları birleştiriyor.
Son olarak, dize kod çözme mekanizması, minimum bir ayak izi bırakmak ve statik tehdit tarayıcıları tarafından tespit edilme şansını azaltmak için basittir.
MORPHISEC, XLL dosya teslimi ile birlikte bu yeni ilavelerin, yeni nesil antivirüs (NGAV) ve bitiş noktası tespiti ve yanıt (EDR) çözümlerinden algılamayı önlemek için yeterli olduğuna ve hatta yanlış.
Bu, Fin7'nin, savunucuların, AI bazlı algılama çözümlerini tamamlayan araçlardaki eşleştirme imzalarını yüklemeden birkaç gün veya haftalar boyunca öngörülen ağda hareket etmesini sağlar.
FIN7, daha önce Teddy Bear Hediyeleri ile birlikte kötü amaçlı yazılımlara bağlanmış USB'leri sunan, meşru bir güvenlik firması olarak poz vererek ve posta yazılımı taşıyan USB'leri postayla göndererek, daha önce kötü amaçlı yazılımlara bağlanmış USB'leri sunan becerikli bir tehdit grubudur.
JSSLoader'ın yeni ve gizli versiyonu, arsenallerinin sadece bir kısmıdır, algılanmadan ve durmadan ağlarda daha uzun süre gizlenmelerine yardımcı olur.
Rusya-Ukrayna Savaşı, kötü amaçlı yazılım dağıtım için yem olarak sömürüldü
Kötü Amaçlı Yazılım Kampanyası, Siteleri satın almak isteyen VC firmasını taklit eder.
Alman Govt APT27 Hacker'ların Backdooring Business Network'lerini uyardı
Bitrat kötü amaçlı yazılım şimdi Windows 10 lisans aktivatörü olarak yayılıyor
Güvenli olmayan Microsoft SQL, MySQL Sunucuları GH0stcringing Malware tarafından vurdu
Kaynak: Bleeping Computer