Hackerlar tarafından Word belgelerindeki uzak masaüstü ActiveX denetimini, Windows 10’da Ostap adında, teslimat için TrickBot tarafından yakın zamanda kabul edilen bir kötü amaçlı yazılım indiricisini otomatik olarak yürütmek için kullanıyor.
Güvenlik araştırmacıları, daha büyük bir proje olduğunu gösteren ilk kötü amaçlı yazılım yükünü sağlayan birçok dosya buldular.
Bromium araştırmacıları tarafından kapsamlı bir şekilde analiz edilen Ostap, kötü amaçlı makro koduyla bağlanmış ve şifrelenmiş içerik gösterdiği iddia edilen bir resim de dahil olmak üzere bir Word belgesi aracılığıyla teslim edilir. Kullanıcıları belgede makroları etkinleştirmeleri için kandırmak için bir gerekliliktir.
Morphisec’teki güvenlik araştırmacıları zehirli dokümanları analiz ettiler ve gömülü görüntünün altına gizlenmiş bir ActiveX kontrolü olduğunu fark ettiler.
Daha yakından bakıldığında, tehdit aktörünün uzaktan kontrol için kullanılan MsRdpClient10NotSafeForScripting sınıfını kullandığı ortaya çıktı. Windows 10 desteklenen en düşük istemcidir ve Windows Server 2016 desteklenen en düşük sunucudur.
ActiveX denetimleri, etkileşimli hale getirmek için Word belgelerindeki metin veya çizim katmanlarına eklenebilir.
Ocak ayında görülen diğer aktörler, tespit edilmesi daha kolay olan OnConnecting yöntemini kullandığı gözlemlenmiştir.
Kaynak
The post Saldırganlar Windows 10 RDP ActiveX Protokolünü TrickBot Dropper Olarak Kullanıyor appeared first on ÇözümPark.