Tehdit aktörleri, kötü şöhretli bir uzaktan erişim Truva atı olan Asyncrat’ın filessiz bir varyantını dağıtmak için aldatıcı taktiklerden yararlanıyor.
Rutin saldırgan altyapı analizi sırasında keşfedilen bu işlem, kullanıcıları kötü niyetli komutlar yürütmeye kandırmak için “ClickFix” tekniği etrafında temalı sahte bir doğrulama istemi kullanır.
İstemdeki dilsel ipuçları tarafından kanıtlandığı gibi Almanca konuşan bireyleri hedefliyor gibi görünen kampanya, geleneksel antivirüs çözümlerine önemli bir meydan okuma oluşturarak, diske dosyaları yazmadan kötü amaçlı yazılımları dağıtmak için gizlenmiş PowerShell komut dosyaları ve bellek içi yürütme kullanıyor.
.png
)
Aldatıcı kampanya Almanca konuşan kullanıcıları hedefliyor
Saldırı, kurbanların “Ben bir robot değilim” tıklamalarını isteyen görünüşte zararsız bir doğrulama sayfasıyla karşılaştıklarında başlar.
Etkileşim üzerine, Almanca talimatının eşlik ettiği panolarına kötü niyetli bir komut kopyalanır “Kimliğinizi onaylamak için Enter tuşuna basın!” (Kimliğinizi onaylamak için Enter tuşuna basın!).
CloudSek raporuna göre, bu komut meşru Windows yardımcı programını kullanıyor conhost.exe Gibi bayraklarla gizli bir PowerShell örneği çağırmak için -w hidden Ve -nop Uzak bir sunucudan alınan bir yükü yürütmek için (http://namoet[.]de:80/x).
Komut dosyası daha sonra, bir komut ve kontrol (C2) sunucusuna bir bağlantı ortaya çıkararak, gizlenmiş bir Base64 dizesini çözer. namoet[.]de:4444ve ve Add-Type.
Bu yaklaşım, kayıt defteri anahtarları yoluyla kalıcılığı sağlar. HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce ve dosya tabanlı algılama mekanizmalarından kaçarken tam uzaktan kumanda, kimlik bilgisi hırsızlığı ve veri açığa çıkmasını kolaylaştırır.
Sofistike Filless kötü amaçlı yazılım
Teknik analiz, Asyncrat’ın gizli yürütme (MITER T1059.001), bellek içi C# derlemesi (T1127.001) ve 4444 (T1571) gibi standart olmayan portlar üzerinden TCP tabanlı C2 iletişimini içeren Asyncrat’ın imza taktiklerini ortaya koymaktadır.
Yük, kayıt defteri yollarına komutları yerleştirerek kalıcılık oluşturur ve analizi önlemek için ters ipler ve yansıtıcı yükleme gibi gelişmiş gizleme tekniklerini kullanır.
Etkin olduktan sonra, komut yürütme için standart giriş/çıkışı yönlendirir ve saldırganların uzun süre gizli erişimi sürdürmesini sağlar.
İlişkili altyapıya dayanan en az Nisan 2025’ten bu yana potansiyel olarak aktif olan bu kampanya, sözlü olmayan kötü amaçlı yazılım sunumunun artan sofistike olmasının altını çizmektedir.
Bu tehdide karşı koymak için kuruluşlar, Şüpheli PowerShell yürütmelerini EDR veya Applocker aracılığıyla engellemek, bilinen C2 alanlarına çıkış trafiğini filtrelemek için ağ segmentasyonunu uygulamak ve yetkisiz kalıcılık mekanizmaları için kayıt defteri değişikliklerini izlemek gibi azaltmalara öncelik vermelidir.
PowerShell kısıtlı dil modunu uygulamak ve komut dosyası günlüğünün etkinleştirilmesi, gizlenmiş kodun tespit edilmesine daha da yardımcı olabilirken, özel YARA kurallarıyla bellek taraması bellek içi yüklere karşı proaktif bir savunma sunar.
Uzlaşma Göstergeleri (IOCS)
| Gösterge Türü | Değer | Kullanmak |
|---|---|---|
| Ivır zıvır | 109.250.111[.]155 | ClickFix Teslimat |
| Fqdn | çırpmak[.]ile ilgili | ClickFix / C2 Sunucusu |
| Liman | 4444 | TCP Ters Kabuk Dinleyicisi |
| Url | HXXP[:]// namoet[.]DE: 80/x | Powershell yükü |
| Kayıt Defteri (HKCU) | Yazılım \ Microsoft \ Windows \ CurrentVersion \ Runonce \ Windows | Boot’da kalıcılık |
| Kayıt Defteri (HKCU) | Yazılım \ microsoft \ windows nt \ currentersion \ windows \ win | Gizli komut tutar |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin