Excel Evraklarında Gizlenen Yeni Bir Kötü Emelli Yazılım Keşfedildi (E-Postalarınızdaki Excel’leri İki Defa Denetim Edin)

Son devirde giderek yaygınlaşan yeni bir kötü hedefli yazılım direkt Excel belgelerinde saklanıyor. Fortinet’in yaptığı araştırmaya göre kötü niyetli şahıslar Excel dokümanlarını kullanarak Remcos Uzaktan Erişim Truva Atı’nın (RAT) belgesiz bir sürümünü dağıtıyor. Bu yeni kötü maksatlı yazılımın amacı ise şaşırtan olmayan bir şekilde kullanıcıların hassas bilgilerini ele geçirmek.

Yeni saldırı prosedürü, kullanıcıların dikkatini çekmek için düzmece satın alım siparişleri içeren phishing diye bildiğimixz e-postalar gönderilmesiyle başlıyor. E-posta ekinde Microsoft Office uygulamasında bulunan ve CVE-2017-0199 koduyla bilinen bir güvenlik açığından yararlanan bir Excel dosyası yer alıyor.

Yeni saldırı metodu nasıl gerçekleşiyor?

Bu dosya açıldığında sistem, uzaktaki bir sunucudan bir HTML Uygulaması (HTA) dosyası indiriyor ve bu dosya mshta.exe aracı kullanılarak başlatılıyor. Bu işlem sonucunda sunucudan ikinci bir yük indiriliyor ve bu yük, tahlil ve yanılgı ayıklama tespitini önleyerek Remcos RAT’ın kurulmasına imkan sağlıyor.

Remcos RAT, temelinde yasa dışı bir yazılım olarak geliştirilmemişti. İlk olarak yasal yollardan uzaktan yönetim benzeri misyonlarda kullanılmak üzere geliştirilmiş bir yazılımdı fakat tıpkı Cobalt Strike kötü niyetli şahıslar tarafından ele geçirilerek kötü maksatlı faaliyetlerde kullanılmaya başlandı.

Remcos RAT neler yapabiliyor?

Günümüzde ise Remcos yetkisiz erişim sağlamak, data çalmak ve casusluk maksadıyla kullanılan bir araç hâline geldi. Remcos RAT bulaşmış bir bilgisayardaki klavye hareketleri kaydedilebilir, ekran görüntüleri alınabilir ve komut çalıştırılabilir.

Yeni sistemde kullanılan Remcos sürümü evraksız bir yapıya sahip. Fortinet, saldırganların Remcos’u direkt hedef aygıtın belleğine yerleştirdiğini belirtiyor. Böylelikle kolay kolay fark edilmiyor ve tespit edilemiyor.