Tinyloader olarak adlandırılan gizli yeni bir kötü amaçlı yazılım yükleyici, Windows ortamlarında çoğalmaya başladı, dünya çapında sistemleri tehlikeye atmak için ağ paylaşımlarından ve aldatıcı kısayol dosyalarını kullanmaya başladı.
İlk olarak Ağustos 2025’in sonlarında tespit edilen TinyLoader, enfekte olmuş makineleri kimlik hırsızlığı, uzaktan erişim ve kripto para kaçırma için tamamen silahlandırılmış platformlara dönüştüren birden fazla ikincil yük (özellikle Redline Stealer ve DCRAT) yükler.
Analistler, yükleyicinin konuşlandırılmasında hızlı bir şekilde artmayı gözlemlediler, kurumsal dosya paylaşımlarına, çıkarılabilir medyaya ve şüphesiz kullanıcıları kötü niyetli ikili işlemlere teşvik eden sosyal mühendislik taktiklerine kadar izlediler.
Kötü amaçlı yazılım yükleyicileri yeni bir tehdit olmasa da, Tinyloader agresif yanal hareket ve sofistike kalıcılık mekanizmalarının bir kombinasyonu ile kendini ayırt eder.
İlk erişim sıklıkla ağ paylaşımları yoluyla elde edilir: Açık SMB kaynakları için yükleyici taramaları, kendisini zararsız bir “Update.exe” dosyası olarak tekrarlar ve algılamayı önlemek için dizin zaman damgalarını günceller.
Yürütüldükten sonra, ek modülleri indirmek için hemen önceden tanımlanmış komut ve kontrol (C2) sunucularına ulaşır.
Hunt.io araştırmacıları, Riga, Letonya’da 176.46.152.47 ve 176.46.152.46’da barındırılan erken C2 altyapısını, İngiltere ve Hollanda’da daha fazla düğümle birlikte, dağıtımı kolaylaştırmak için tek bir barındırma sağlayıcısı altında çalıştırdı.
Hunt.io analistleri, TinyLoader’ın arayüzünün hizmet olarak modern kötü amaçlı yazılım panellerini yansıttığını ve tehdit aktörlerine kampanya yönetimi için sezgisel bir web portalı sunduğunu belirtti.
Yükleyicinin yük alma dizisinin incelenmesi, Windows geçici dizine kaydedilen ve kullanıcı etkileşimi olmadan yürütülen kötü amaçlı ikili dosyalara (bot.exe ve zx.exe) işaret eden altı sert kodlanmış URL ortaya çıkarmıştır.
Bu modüler yaklaşım, saldırganların yükleri döndürmesine ve kripto para birimi kesme modülleri veya minimum yeniden geliştirme çabasıyla uzaktan erişim truva atları gibi yeni araçlara dönmelerine olanak tanır.
Enfeksiyonların patlamasının ardından, güvenlik ekipleri tespit imzalarını ortaya çıkarmak için uğraştı.
.webp)
TinyLoader’ın giriş paneli tutarlı bir HTML başlık etiketi taşır:-
Login - TinyLoader Bu dize, savunucuların ek C2 panellerini numaralandırmasını ve bunları önleyici olarak engellemelerini sağlayan Web Prawler aramaları için kritik bir gösterge haline geldi.
.webp)
Şüpheli IP adresi 176.46.152.47 için Hunt.io tarama sonuçları, daha fazla altyapı eşlemesini tetikleyen ilk keşfi göstermektedir.
Enfeksiyon Mekanizması: Ağ Paylaşımı Yayılımı ve Sahte Kısayollar
TinyLoader’ın birincil enfeksiyon vektörü, sahte Windows kısayolları aracılığıyla hem ağ dosyası paylaşımını hem de sosyal mühendisliği kullanır.
Yönetici ayrıcalıklar kazandıktan sonra, yükleyici kendisini Windows Kayıt Defterine enjekte eder.
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
@="\"%SystemRoot%\\System32\\cmd[.]exe\" /c start \"\" \"C:\\Windows\\System32\\Update.exe\" \"%1\""Bu değişiklik, bir metin dosyasını açma girişiminin, meşru belgeyi görüntülemeden önce önce TinyLoader’ı sessizce başlatmasını sağlar.
Eşzamanlı olarak, kötü amaçlı yazılım, “Update.exe” i ve “belgeler backup.lnk” adlı kötü amaçlı kısayol dosyalarını kopyalayarak yazılabilir ağ paylaşımlarını tarar.
Bu kısayollar çift tıklandığında, kullanıcı dostu bir yedekleme yardımcı programı olarak maskelenirken TinyLoader’ı yürütürler.
.webp)
Yukarıda belirtilen sahte masaüstü kısayolu sosyal mühendislik için kullanılan bu taktiği örnekler.
Yükleyici ayrıca çıkarılabilir ortamı da hedefler: her USB ekleme, TinyLoader’ın “Photo.jpg.exe” gibi cazip isimler altında çoğaltılmasını tetikler.
Eşlik eden bir Autorun.inf dosyası, bir sonraki ana bilgisayarda yürütmeyi garanti ederek enfeksiyon döngüsünü sürdürür.
Birlikte, bu teknikler hem yerel hem de kurumsal ağları kapsayan esnek bir yayılma mekanizması oluşturur ve Tinyloader’ı kurulduktan sonra ortadan kaldırmayı son derece zorlaştırır.
Savunucular, dosya derneklerini etkileyen kayıt defteri değişikliklerini izlemeleri, ağ paylaşımlarında yürütülebilir oluşturulmayı kısıtlayan politikaları dağıtmaları ve kısayol dosyalarını olağandışı hedefler için incelemeleri istenir.
“Giriş-TinyLoader” panelinin imza tabanlı tespitini Autorun etkinliğinin davranışsal izlemesiyle birleştirerek, güvenlik ekipleri ortaya çıkan tehdidin hızlı yayılmasını azaltabilir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.