PowerPepper Zararlısı Windows Bilgisayarlara Bulaşıyor; Kendini Gizliyor!
Windows PC'lerde, tespit edilmekten kaçınmak için tasarlanmış, kiralık hacker grubu DeathStalker tarafından geliştirilen yeni bir kötü amaçlı yazılım türü keşfedildi: İşte PowerPepper ve yapabildikleri...
Kaspersky'deki güvenlik araştırmacıları, kiralık bir hacker
grubu olan DeathStalker tarafından geliştirilen
yeni bir kötü amaçlı yazılım türünü duyurdu. DeathStalker en az
2012'den beri aktif, ancak siber suçlular veya devlet destekli
bilgisayar korsanları tarafından kullanılanlara benzemeyen kendine
özgü saldırı özellikleri nedeniyle Kaspersky'nin dikkatini ilk kez
2018'de çekti. Grup, saldırılarında çok çeşitli kötü amaçlı yazılım
türleri ve karmaşık dağıtım zincirleri kullanmasıyla biliniyor,
ancak tespitten kaçmak için kullanılan taktikler onu gerçekten öne
çıkarıyor.
Kaspersky, grubun PowerShell tabanlı Powersing yöntemini kullanan diğer saldırılarını araştırırken Mayıs ayında PowerPepper adı verilen yeni bir kötü amaçlı yazılım türünü keşfetti. Bu dönemden sonra yeni PowerPepper sürümleri internete dağıldı ve DeathStalker'ın açtığı yolları kullanarak yeni hedeflere bulaşıyor.
PowerPepper zararlısı
Yeni PowerPepper kötü amaçlı yazılımı, operatörlerinin bir komut ve kontrol (C2) sunucusundan uzaktan kabuk komutları yürütmesine olanak tanıyan, bellek içi Windows PowerShell tabanlı bir arka kapı açığını kullanıyor.
DealthStalker'in önceki çalışmasında olduğu gibi, PowerPepper da fare hareketlerini tespit etmek, bir istemcinin MAC adreslerini filtrelemek ve bir hedef sistemde hangi antivirüs ürünlerinin kurulu olduğuna bağlı olarak yürütme akışını uyarlamak gibi çeşitli hileler kullanarak Windows 10 tarafından algılanmaktan kaçınıyor. Kötü amaçlı yazılım, kimlik avı e-posta ekleri yoluyla veya PowerPepper'ı çalıştıran ve virüslü sistemlerde kalıcılık kazanan kötü amaçlı Visual Basic for Application (VBA) makroları içeren belgelere bağlantılar yoluyla yayılıyor.