Kendisini Defender’in Dışlananlarına Ekleyerek Gizleyen Zararlı Yazılım Tespit Edildi

BitDefender araştırmacıları 20 Temmuz 2021 tarihinde MosaicLoader ismi verilen ziyanlı yazılım tespit etti. Söylenenlere nazaran bulaştığı sistemlerde kendisini Microsoft Defender‘ın istisnalar listesine ekleyerek Defender tarafından yürütülecek taramalara karşı görünmez hale getiriyordu.

TheHackerNews ile bulgularını paylaşan BitDefender araştırmacıları, bu yeni zararlının temelde öteki makûs maksatlı yazılımları sistemlere bulaştırmak maksadıyla kullanılan bir “loader” olduğunu belirtti. Saldırganlar için siber hata pazarında epeyce kâr getirecek cinsten olan bu ziyanlı, “zararlı yazılım teslimatı” yapma tekniklerine sahip.

MosaicLoader crackli yazılımlar üzere davranarak sistemlere bulaşıyor ve C2 (komuta kontrol) sunucusuna bağlanarak listeye nazaran ziyanlı yazılımları etkilediği sistemlere indiriyor. Araştırmalara nazaran “loader” tarafından birinci olarak bir ZIP belgesi indiriliyor ve çıkartılıyor. Daha sonra ZIP içinden çıkartılan “appsetup.exe” isminde bir öteki yazılım çalıştırılıyor. Bu yazılım ise “prun.exe” isimli ziyanlı parçacığını çalıştırmak için kullanılıyor.

“prun.exe” ise çeşitli güvenlik sistemlerini atlatmak için kullanılan bir diğer yapıyı indiriyor ve çalıştırıyor. Bu sistemin çalışmasından sonra asıl makus maksatlı kod sistemde etkin hale geliyor. MosaicLoader, bu biçimde aksine mühendislik çalışmalarından ve tahlillerden rahatlıkla kaçabilmiş.

Ayrıyeten MosaicLoader’ın daha fazla kullanıcıya bulaşabilmesi için saldırganlar birtakım SEO tekniklerini izledi. Arama motorlarının üst kısımlarından reklam alanları alarak ziyanlı yazılımı içeren düzmece sayfaları gaye sözlerde üstte tutmayı başardılar.

Başarılı bir bulaşma sonrası MosaicLoader kendisini Windows Defender’ın aşağıdaki kayıt defteri pozisyonlarında yer alan lokal dışlananlar listesine ekliyor. Böylelikle başlatılabilecek rastgele bir taramadan muvaffakiyetle kaçınıyor.

• Dışlanan Klasörler ve Belgeler – HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExclusionsPaths
• Evrak Tipi Bazında Dışlananlar – HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExclusionsExtensions
• Çalışan Process/Süreç Bazında Dışlananlar – HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExclusionsProcesses

MosaicLoader’in sisteme yüklediği “appsetup.exe” isimli yürütülebilir evrak, kalıcılığı sağlamak için oluşturulmuş. İkinci belge olan “prun.exe” ise komuta denetim sunucusunda yüklenmesi istenen bir öbür zararlıları yüklemekle sorumlu. Parola ve çerez çalıcılar, miner’lar ve benzeri zararlıları sisteme yüklemek için kullanılıyor.

Ayrıyeten “prun.exe” belgesi baytlara ayırma ve çeşitli anti-analiz tekniklerinin yanı sıra yalnızca zararlının çalışması için kıymetli olan kesimleri yürütmek üzere yolları de barındırıyor. MosaicLoader önümüzdeki vakit dilimi içerisinde siber hatalıların çeşitli gayelerle kullanacağı ellerindeki güçlü bir oyuncak olabilir.

MosaicLoader ve gibisi zararlılardan korunmak için yapmanız gereken ise korsan yazılımlardan uzak durmak. Çünkü saldırganların hedeflediği kitle yasa dışı içeriklerle ve korsan yazılımlarla haşir neşir olan kullanıcılar. Ayrıyeten nereden olursa olsun bir belge indirdikten sonra kesinlikle güvenlik yazılımınızla denetim etmelisiniz.

Kaynak: Technopat