Kaspersky'deki güvenlik araştırmacıları, kiralık bir hacker grubu olan DeathStalker tarafından geliştirilen yeni bir kötü amaçlı yazılım türünü duyurdu. DeathStalker en az 2012'den beri aktif, ancak siber suçlular veya devlet destekli bilgisayar korsanları tarafından kullanılanlara benzemeyen kendine özgü saldırı özellikleri nedeniyle Kaspersky'nin dikkatini ilk kez 2018'de çekti. Grup, saldırılarında çok çeşitli kötü amaçlı yazılım türleri ve karmaşık dağıtım zincirleri kullanmasıyla biliniyor, ancak tespitten kaçmak için kullanılan taktikler onu gerçekten öne çıkarıyor.
Kaspersky, grubun PowerShell tabanlı Powersing yöntemini kullanan diğer saldırılarını araştırırken Mayıs ayında PowerPepper adı verilen yeni bir kötü amaçlı yazılım türünü keşfetti. Bu dönemden sonra yeni PowerPepper sürümleri internete dağıldı ve DeathStalker'ın açtığı yolları kullanarak yeni hedeflere bulaşıyor.
PowerPepper zararlısı
Yeni PowerPepper kötü amaçlı yazılımı, operatörlerinin bir komut ve kontrol (C2) sunucusundan uzaktan kabuk komutları yürütmesine olanak tanıyan, bellek içi Windows PowerShell tabanlı bir arka kapı açığını kullanıyor.
DealthStalker'in önceki çalışmasında olduğu gibi, PowerPepper da fare hareketlerini tespit etmek, bir istemcinin MAC adreslerini filtrelemek ve bir hedef sistemde hangi antivirüs ürünlerinin kurulu olduğuna bağlı olarak yürütme akışını uyarlamak gibi çeşitli hileler kullanarak Windows 10 tarafından algılanmaktan kaçınıyor. Kötü amaçlı yazılım, kimlik avı e-posta ekleri yoluyla veya PowerPepper'ı çalıştıran ve virüslü sistemlerde kalıcılık kazanan kötü amaçlı Visual Basic for Application (VBA) makroları içeren belgelere bağlantılar yoluyla yayılıyor.