Uzaktan Bağlantı Tehdidi: Hackerlar Yeni Truva Atı ile Cihazları Ele Geçiriyor

Araştırmacılar, hackerların uzaktan erişim sağlayan Remcos RAT adlı Truva atının yeni bir sürümünü kullanarak birçok cihazın kontrolünü ele geçirdiğini tespit etti. Bu saldırılar, Excel dosyası görünümünde zararlı dosyalarla gerçekleşiyor.

“Sipariş” Temalı Kimlik Avı E-postaları ile Yayılma

Hackerlar, “sipariş” başlığıyla kimlik avı amaçlı e-postalar gönderiyor ve Microsoft Excel dosyası görünümünde zararlı bir dosyayı ek olarak iletiyorlar. Bu dosya, Office uygulamalarındaki bir uzaktan kod yürütme açığından (CVE-2017-0199) yararlanarak bilgisayarlara sızıyor.

Kullanıcı dosyayı açtığında, bu açık tetiklenerek dosya, uzak bir sunucudan HTML Uygulaması (HTA) formatında başka bir dosya indiriyor ve mshta.exe yoluyla çalıştırılıyor. HTA dosyası ise, sunucudan ikinci bir zararlı yazılım indirerek analiz ve hata ayıklamayı önleyici mekanizmalarla birlikte Remcos RAT yüklemesini başlatıyor.

Remcos RAT’in Yasal Yazılımdan Tehdit Araçlarına Dönüşümü

Remcos, başlangıçta kötü amaçlı yazılım olarak değil, yasal bir uzaktan yönetim aracı olarak geliştirilmişti. Ancak, tıpkı Cobalt Strike gibi, hackerların elinde yasa dışı erişim, veri hırsızlığı ve casusluk amacıyla kullanılmaya başladı.

Bu yeni sürümde Remcos, cihaz belleğine doğrudan yükleniyor ve işletim sistemine yerel bir dosya olarak kaydedilmiyor. Uzmanlara göre, “Remcos dosyasını indirip çalıştırmak yerine, doğrudan mevcut işlemin belleğine yerleştiriliyor,” ve bu durum, geleneksel zararlı yazılım tespit yöntemlerini zorlaştırıyor.

Bu tehdit, kullanıcıları özellikle e-postalar yoluyla bulaşan dosyalar konusunda dikkatli olmaya çağırırken, kurumları da siber güvenlik önlemlerini gözden geçirmeye yönlendiriyor.