Excel Dosyaları Üzerinden Windows’a Bulaşan Remcos RAT Tehlike Saçıyor

Excel Dosyaları Üzerinden Windows’a Bulaşan Remcos RAT Tehlike Saçıyor
Fortinet araştırmacıları, Microsoft Windows kullanıcılarını hedef alan ve Excel dosyaları yoluyla yayılan yeni bir Remcos RAT varyantını tespit etti. Bu zararlı yazılım, saldırganların uzak erişim sağlayarak sistem kontrolü elde etmesine ve hassas verileri çalmasına olanak tanıyor.

Fortinet’in FortiGuard Labs siber güvenlik uzmanlarının yaptığı bir araştırma, gelişmiş bir Remcos RAT (Uzaktan Erişim Truva Atı) varyantı dağıtan sofistike bir phishing kampanyasını ortaya çıkardı. Çevrimiçi ortamda satışa sunulan bu zararlı yazılım, Windows sistemlerine uzaktan erişim sağlayarak kullanıcı verilerini tehlikeye atıyor.

EXCEL DOSYALARI ÜZERİNDEN PHISHING SALDIRISI

Saldırı, sipariş bildirimi kılığında gönderilen bir OLE Excel dokümanı ile başlıyor. Bu dosya açıldığında, Microsoft Office ürünlerinde uzaktan kod çalıştırmaya izin veren CVE-2017-0199 güvenlik açığını kullanarak HTML Uygulaması (HTA) dosyası indiriyor ve çalıştırıyor.

HTA dosyası, güvenlik yazılımlarını atlatmak amacıyla JavaScript, VBScript, PowerShell gibi farklı dillerde yazılmış ve karmaşık hale getirilmiş kodlar içeriyor. Dosya, PowerShell kullanarak dllhost.exe adlı zararlı yazılımı indirip çalıştırarak Remcos RAT’ın sisteme yerleşmesini sağlıyor. Ayrıca, otomatik başlatmayı etkinleştirmek için sistem kayıt defterini değiştirerek kalıcılık sağlıyor.

REMOS RAT’IN YETENEKLERİ VE TESPİTİ ZORLAŞTIRAN TEKNİKLERİ

Etkinleştirildiğinde Remcos RAT, Komut ve Kontrol (C&C) sunucusuna bağlanarak saldırganlara sistemle ilgili çeşitli bilgileri aktarıyor ve uzaktan kontrol sağlayan komutlar alıyor. Bu bilgiler arasında sistem yapılandırması, kullanıcı verileri, ağ bilgileri yer alırken, saldırganlara dosya manipülasyonu, tuş kaydedici, ekran kaydı ve kamera erişimi gibi işlemler yapma imkanı tanıyor.

Tespit edilmemek adına Remcos RAT, gelişmiş anti-analiz tekniklerinden olan Vektörlü İstisna İşleme ile hata yakalama işlemlerini manipüle ediyor. Ayrıca, process hollowing adı verilen bir yöntem kullanarak kötü amaçlı kodunu Vaccinerende.exe gibi meşru bir işlemin içine enjekte edip arka planda çalışıyor. Zararlı yazılım aynı zamanda hata ayıklayıcıların varlığını tespit etmek için debug register (DR0-DR7) kontrolleri yapıyor, sık kullanılan API çağrılarını izliyor ve ZwSetInformationThread() ile hata ayıklama araçlarından kendini gizliyor.

REMOS RAT SALDIRILARINA KARŞI KORUNMA YÖNTEMLERİ

Fortinet araştırmacıları, Remcos RAT’a karşı önlem almak için bazı koruma yöntemleri öneriyor. Kullanıcıların, bilinmeyen e-posta bağlantıları ve eklerine tıklamaktan kaçınması, güncel bir güvenlik yazılımı kullanması, sistem güncellemelerini yapması ve Belge Yeniden Yapılandırma Hizmeti (CDR) kullanarak belgelerdeki zararlı içerikleri açmadan temizlemeleri tavsiye ediliyor.

Bu güvenlik önlemlerini uygulayarak kullanıcılar, Remcos RAT ve benzeri tehditlerden korunma şanslarını artırabilirler.

Son Haberler
Excel Dosyaları Üzerinden Windows’a Bulaşan Remcos RAT Tehlike Saçıyor
Excel Dosyaları Üzerinden Windows’a Bulaşan Remcos RAT Tehlike Saçıyor
iOS 18, iPadOS 18, watchOS 11 ve macOS Sequoia Yayınlandı
iOS 18, iPadOS 18, watchOS 11 ve macOS Sequoia Yayınlandı
Türkiye'de 2024 Ocak ayı en çok satılan SUV'lar
Türkiye'de 2024 Ocak ayı en çok satılan SUV'lar
WhatsApp'a Favori Kişiler özelliği geliyor!
WhatsApp'a Favori Kişiler özelliği geliyor!
Renault Kangoo'nun dönüşü muhteşem oldu: Artık elektrikli!
Renault Kangoo'nun dönüşü muhteşem oldu: Artık elektrikli!
Bataryası en uzun giden akıllı telefonlar belli oldu
Bataryası en uzun giden akıllı telefonlar belli oldu
Huawei markası kullananlar dikkat: Google gerçeği ortaya çıktı
Huawei markası kullananlar dikkat: Google gerçeği ortaya çıktı
iPhone'lardaki büyük sorunu iOS 17.2 güncellemesi çözecek
iPhone'lardaki büyük sorunu iOS 17.2 güncellemesi çözecek