Facebook’ta kalıcı ve son derece sofistike bir kötüverizasyon kampanyası, Bitdefender laboratuvarları tarafından ortaya çıkarıldı ve çok aşamalı kötü amaçlı yazılımları dağıtmak için büyük kripto para birimi borsalarıyla ilgili güvenden yararlandı.
Mayıs 2025 itibariyle birkaç ay boyunca aktif olan bu devam eden operasyon, geleneksel güvenlik savunmalarını atlamak için ileri kaçaklama tekniklerinden, kitle markası taklit edilmesi ve kullanıcı izleme mekanizmalarından yararlanmaktadır.
Binance, TradingView ve Metamask gibi güvenilir platformları taklit ederek, siber suçlular kurbanları, genellikle Elon Musk ve Cristiano Ronaldo gibi kamusal figürlerden gelen fabrika onaylarını kullanarak finansal kazanç ve kripto bonusları vaatleriyle cezbeder.
.png
)
Bu kampanyanın ölçeği, yüzlerce hileli reklam ve hesap tanımlanarak, bazıları Meta’nın reklam ağı tarafından kaldırılmadan önce binlerce görüntüleme oluşturuyor.
Sofistike kampanya hedefleri kripto
Saldırı, şüphesiz kullanıcıların aldatıcı reklamlara tıkladığında, bunları meşru kripto para birimi platformlarını taklit eden kötü amaçlı sitelere yönlendirdiğinde başlar.
Bu siteler, kullanıcıları genellikle adlandırılan sözde bir “masaüstü istemcisi” i indirmeye teşvik edin installer.msikötü amaçlı bir DLL dağıtır ve 30308 veya 30303 gibi bağlantı noktalarında yerel bir .NET tabanlı sunucu oluşturur.
Bu sunucu, uç noktalar aracılığıyla uzaktan yük yürütme ve veri açılmasını kolaylaştırır. /set Ve /querysaldırganların özel WMI sorgularını çalıştırmasını ve kodlanmış PowerShell komut dosyalarını yürütmesini sağlar.
Bu kötü amaçlı yazılımın özellikle sinsi bir yönü, ön uç ve arka uç işbirliğidir: Kötü niyetli web sayfasındaki bozulmuş bir paylaşımcı komut dosyası, kurbanın ortamına göre dinamik olarak adapte olan taşıma yükünü düzenlemek için LocalHost sunucusuyla iletişim kurar.
Kayıp reklam izleme parametreleri gibi şüpheli koşullar varsa (örn. utm_campaign– fbid) veya kum havuzu benzeri davranış-tespit edilir, site iyi huylu içerik sunar ve otomatik güvenlik analizinden kaçınır.
Ayrıca, daha yeni varyantlar Microsoft Edge kullanımında ısrar ederek diğer tarayıcıların kullanıcılarını zararsız sayfalara yönlendirerek başka bir algılama katmanı ekler.
Kötü amaçlı yazılım dağıtım ve kaçırma taktikleri
Kötü amaçlı yazılımların karmaşıklığı, veri açığa çıkması ve yük evrimine kadar uzanır.
Komut ve Kontrol (C2) sunucularından indirilen PowerShell komut dosyaları, yüklü yazılım, GPU özellikleri ve Windows kayıt defteri anahtarlarından coğrafi konum verileri gibi sistem ayrıntılarını hedefleyerek ek kötü amaçlı kodları sürekli olarak alıp yürütür.
Mağdur profiline bağlı olarak, C2 sunucuları özel yükler veya kum havuzu ortamlarında, yüzlerce saat uyuyarak analiz süresini boşa harcamak için tasarlanmış inert komut dosyaları kullanabilir.
Bitdefender araştırmacıları, kampanyanın birden fazla gizleme katmanı ve sandbox karşıtı kontroller kullandığını ve uçtan uca analizi zorlaştırdığını belirtti.
Örneğin, hedefleme genellikle Bulgaristan ve Slovakya gibi bölgelerde 18 yaşından büyük erkekler gibi belirli demografik özelliklere ince ayar yapılır ve sosyal mühendislik taktiklerinin etkisini en üst düzeye çıkarır.
Bu hibrit tehdit, ön uç aldatmayı localhost tabanlı kötü amaçlı yazılım hizmetleriyle birleştirerek, gerçek zamanlı olarak adapte olma konusunda dikkate değer bir yetenek sergiliyor.
Bitdefender, genel imzalar aracılığıyla hem kötü amaçlı DLL hem de ön uç komut dosyalarını algılayan birkaç güvenlik çözümünden biri olarak öne çıkıyor.
Kampanya, görünüşte rutin tehditleri karmaşık, kaçamak operasyonlara dönüştürerek Facebook reklamları ve kripto para birimi yutturmacası aracılığıyla sosyal mühendisliğin tehlikeli kesişiminin altını çiziyor.
Saldırganlar yöntemlerini gelişen yükler ve demografik profil oluşturma ile geliştirdikçe, bu kötü niyetli şema, hem kullanıcılar hem de siber güvenlik sağlayıcıları için önemli bir zorluk oluşturmakta ve bu tür dinamik siber tehditler karşısında artan uyanıklık ve ileri tespit mekanizmalarına olan acil ihtiyacını vurgulamaktadır.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir