MidgeDropper Kötü Amaçlı Yazılımı Tehdidi

FortiGuard Labs tarafından keşfedilen MidgeDropper adlı kötü amaçlı yazılım, Windows tabanlı sistemleri hedefleyen yeni bir tehdit olarak karşımıza çıkıyor. MidgeDropper, kötü amaçlı yazılım tasarımcıları tarafından geliştirilen oldukça karmaşık bir damlalık çeşididir. Bu yazılımın özellikleri arasında dışarıdan yükleme yeteneği ve kod gizleme gibi çeşitli yetenekler bulunur. Bu, MidgeDropper’ı diğer kötü amaçlı yazılımlardan ayıran özelliklerden biridir ve onu potansiyel olarak tehlikeli kılar.

Araştırmacılar, MidgeDropper’ın ilk bulaşma vektörünün tam olarak ne olduğunu henüz tespit edemediler. Ancak şüphelenilen bir kimlik avı e-postasının içerdiği bir RAR arşivine erişim sağladıktan sonra bulaşma işlemi başlamış olabilir. Bu arşiv, “Evden Çalışma gruplarına yönelik bildirim.pdf” ve “062023_PENTING_HALA REPORT.pdf.exe OLMAYAN DENETLEYİCİ GÖREVLİLERİN LİSTESİ” adlı iki dosyayı içerir.

Kullanıcılar bu e-postayı aldıklarında, içeriği açmaya çalıştıklarında bir hata mesajı ile karşılaşırlar ve bu mesaj onları ikinci dosyayı yani tehlikeli olanı açmaya yönlendirir. Windows’un dosya uzantılarını gizlemesi, kullanıcıların bu dosyanın bir uygulama olduğunu fark etmemesine neden olabilir.

Bu ikinci dosya, farklı enfeksiyon aşamaları için kullanılır ve bilgisayara zararlı yazılımın yerleştirilmesini sağlar. Bu dosyalar arasında “IC.exe”, “power.exe”, “power.xml” ve “Microsoft Office.doc” gibi dosyalar yer alır. MidgeDropper’ın çalışma mantığı, bu dosyaları bilgisayarınıza yerleştirerek daha fazla zararlı yazılımın yüklenmesine olanak tanır.

Ayrıca, MidgeDropper’ın bir sonraki aşaması için “seAgnt.exe” adlı başka bir dosyayı indirdiği bir URL vardır. Bu aşama, kötü amaçlı yazılımın daha fazla fonksiyonunu etkinleştirir. Bu noktada, kötü amaçlı yazılımın işleyişinde “GameBarFTServer.exe” adlı bir Microsoft uygulamasının yeniden adlandırılmış bir sürümünün de yer aldığı görülür.

Ancak, MidgeDropper’ın tehlikeli kodunu yürütmek için “VCRUNTIME140_1.dll” adlı bir dosyaya bağlı olduğu göz önüne alındığında, bu işleyiş daha karmaşıktır. Bu dosya, Microsoft Visual C++ çalışma zamanı paketinin kötü amaçlı sürümü olarak tasarlanmıştır.

MidgeDropper, yandan yükleme tekniğini kullanarak bilgisayarlara sızar. DLL dosyaları bağımsız bir şekilde yürütülemez, bu nedenle kötü amaçlı yazılımın kodunu belleğe yüklemek için başka bir uygulama kullanılır ve bu noktada “seAgnt.exe” devreye girer.

FortiGuard raporlarına göre, Fortinet müşterileri bu kötü amaçlı yazılımdan korunuyor, ancak her zaman dikkatli olmak önemlidir. Kötü amaçlı yazılımlara karşı korunma önlemleri arasında kullanıcıların internet tehditleri konusunda eğitilmesi ve güvenilir antivirüs yazılımlarının kullanılması yer alır.

Sonuç olarak, MidgeDropper gibi karmaşık kötü amaçlı yazılımların ortaya çıkması, siber güvenlik açısından her zamankinden daha fazla dikkat gerektiriyor. Kullanıcıların bilinmeyen e-posta eklerinden ve kaynaklardan gelen dosyalara dikkat etmeleri ve güncel güvenlik önlemlerini takip etmeleri önemlidir.