Saldırganlar Windows 10 RDP ActiveX Protokolünü TrickBot Dropper Olarak Kullanıyor

Hackerlar tarafından Word belgelerindeki uzak masaüstü ActiveX denetimini, Windows 10’da Ostap adında, teslimat için TrickBot tarafından yakın zamanda kabul edilen bir kötü amaçlı yazılım yükleyicisini otomatik olarak yürütmek için kullanıyor.

Güvenlik araştırmacıları, daha büyük bir proje olduğunu gösteren ilk kötü amaçlı yazılım yükünü sağlayan birçok dosya buldular.

Bromium araştırmacıları tarafından kapsamlı bir şekilde analiz edilen Ostap, kötü amaçlı makro koduyla bağlanmış ve şifrelenmiş içerik gösterdiği iddia edilen bir resim de dahil olmak üzere bir Word belgesi aracılığıyla teslim edilir.

Morphisec’teki güvenlik araştırmacıları zararlı dokümanları analiz ettiler ve gömülü görüntünün altına gizlenmiş bir ActiveX kontrolü olduğunu fark ettiler.

Daha yakından bakıldığında, tehdit aktörünün uzaktan kontrol için kullanılan MsRdpClient10NotSafeForScripting sınıfını kullandığı ortaya çıktı. Windows 10 desteklenen en düşük istemcidir ve Windows Server 2016 desteklenen en düşük sunucudur.

ActiveX denetimleri, etkileşimli hale getirmek için Word belgelerindeki metin veya çizim katmanlarına eklenebilir.

Ocak ayında görülen diğer saldırganların, tespit edilmesi daha kolay olan OnConnecting yöntemini kullandığı gözlemlenmiştir.

Kaynak

Link

Exit mobile version