Siber suçluların XSS forumunda, daha önce DeadXInject grubunun AresLoader ve AiDLocker fidye yazılımları gibi kötü amaçlı yazılımlarını dağıtmak için kullanılan ‘DarkBLUP’ takma adı tarafından dağıtılan yeni bir kötü amaçlı yazılım hizmeti (MaaS) olan ManticoraLoader gözlemlendi.
Yeni kötü amaçlı yazılım türü, DeadXInject tarafından Telegram kanalında yaklaşık 8 Ağustos 2024’ten bu yana sunuluyor.
ManticoraLoader Gizlilik ve Karartma Kullanıyor
ManticoraLoader, onu siber suç operasyonları için çok yönlü ve etkili bir araç yapan etkileyici bir dizi özelliğe sahiptir. CRIL’den (Cyble Research and Intelligence Labs) araştırmacılar, kötü amaçlı yazılımın Windows Server dahil olmak üzere Windows 7 ve sonraki sürümlerle uyumlu olduğunu ve bugün hala kullanılan çok çeşitli sistemleri hedeflemesine olanak sağladığını belirtti.
Temel özelliklerinden biri, IP adresi, kullanıcı adı, sistem dili, yüklü antivirüs yazılımı, UUID ve tarih-saat damgaları dahil olmak üzere enfekte cihazlardan kapsamlı bilgi toplamak için tasarlanmış bir modüldür. Bu ayrıntılı keşif verileri daha sonra merkezi bir kontrol paneline geri iletilir ve tehdit aktörlerinin kurbanları profillemesini ve saldırılarını buna göre uyarlamasını sağlar.
Yükleyicinin modüler tasarımı, istek üzerine işlevlerin kolayca genişletilmesine olanak tanır ve çeşitli kötü amaçlı hedeflere uyarlanabilir hale getirir. ManticoraLoader ayrıca, Kleenscan’da bildirilen 0/39’luk bir tespit oranıyla tespitten kaçınmak için karmaşık karartma teknikleri kullanır.
Kaçma yeteneklerini daha da göstermek için aktörler, yükleyicinin 360 Total Security sanal alan çözümünü aşma yeteneğini gösteren bir video yayınladı.
Tehdit aktörleri ayrıca ManticoraLoader’ı kalıcılığı göz önünde bulundurarak tasarladılar, çünkü bildirildiğine göre dosyaları otomatik başlatma konumlarına yerleştirebiliyor ve bu sayede tehlikeye atılmış sistemlerde varlığını sürdürebiliyor. Bu modüler tasarım ayrıca işlevlerin kolayca genişletilmesine olanak tanıyarak yükleyiciyi çeşitli kötü amaçlı hedeflere uyarlanabilir hale getiriyor.
ManticoraLoader’ın arkasındaki tehdit aktörleri, istemci sayısını 10 ile sınırlayan ve hizmeti forumun emanet hizmeti veya Telegram veya TOX üzerinden doğrudan iletişim yoluyla sunan katı bir işlem süreci uyguladı. Bu ayrıcalık, kontrolü sürdürmek ve maruziyeti azaltmak için stratejik bir hareket olabilir.
Hizmet, tehdit aktörlerinin yaratımlarını paraya dönüştürme niyetini gösteren aylık 500$’lık bir kiralama ücreti karşılığında sunuluyor. Bu fiyatlandırma modeli, ManticoraLoader’ın yalnızca tek seferlik bir araç olmadığını, bunun yerine siber suçlular için istikrarlı bir gelir akışı oluşturmak üzere tasarlanmış, dikkatlice hazırlanmış bir MaaS olduğunu öne sürüyor.
AresLoader Kalıcıdır
Ancak araştırmacılar, tehdit aktörü DarkBLUP’un AiDLocker fidye yazılımı ve AresLoader ile elde ettiği başarıdan sonra bir yıldan fazla süre neden hareketsiz kaldığı konusunda net değiller. AresLoader hala siber suçlular arasında yaygın olarak kullanıldığından, araştırmacılar grubun önceki projesini terk etmediğini, bunun yerine kötü amaçlı tekliflerini çeşitlendirmek ve para kazanmayı genişletmek için cephaneliğini genişlettiğini öne sürüyorlar.