Siber güvenlik araştırmacıları, tehdit aktörü grubu Void Arachne tarafından düzenlenen karmaşık bir kötü amaçlı yazılım kampanyasını ortaya çıkardı.
Bu grup, kötü amaçlı Windows Installer (MSI) dosyalarını dağıtarak Çince konuşan kullanıcıları hedef aldı.
Kampanya, şüphelenmeyen kurbanları cezbetmek için popüler yazılımlardan ve yapay zeka teknolojilerinden yararlanıyor ve bu da ciddi güvenlik ihlallerine ve potansiyel mali kayıplara yol açıyor.
Void Arachne’nin kampanyası öncelikle Çince konuşan demografiyi hedefliyor, SEO zehirlemesini ve Telegram gibi yaygın olarak kullanılan mesajlaşma uygulamalarını kullanıyor.
TrendMicro bloglarına göre hacker grubu, halkın yapay zeka teknolojilerine olan ilgisini istismar ederek, çıplaklaştırıcılar ve deepfake pornografi üreten yazılımlar içeren kötü amaçlı MSI dosyalarını yaydı.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
Güvenliği ihlal edilen bu dosyalar, dil paketleri, VPN’ler ve yapay zeka destekli uygulamalar da dahil olmak üzere meşru yazılım yükleyicileri olarak tanıtılır.
Teknik Analiz
Letvpn.msi gibi kötü amaçlı MSI dosyaları, yükleme sırasında Dinamik Bağlantı Kitaplıklarını (DLL’ler) kullanır.
Bu DLL’ler mülk yönetimi, görev zamanlaması ve güvenlik duvarı yapılandırması dahil olmak üzere çeşitli işlemleri kolaylaştırır.
MSI dosyası, kötü amaçlı yazılımla ilişkili hem gelen hem de giden trafiği beyaz listeye almak için zamanlanmış görevler oluşturur ve güvenlik duvarı kurallarını yapılandırarak kesintisiz çalışmayı sağlar.
Tablo 1: LetsPro.msi Tarafından Bırakılan Dosya Örnekleri
| Dosya adı | Boyut | MD5 Karma | Ana Dizin |
| 1 | 9996288 | D82362C15DDB7206010B8FCEC7F611C5 | C:\Kullanıcılar%KULLANICI ADI%\ |
| 792258.vbs | 2405 | CD95B5408531DC5342180A1BECE74757 | C:\Kullanıcılar%KULLANICI ADI%\ |
| LetsPRO.exe | 40960 | FE7AEDAB70A5A58EFB84E6CB988D67A4 | C:\Kullanıcılar%KULLANICI ADI%\ |
Kötü Amaçlı Yapay Zeka Uygulamaları
Void Arachne ayrıca sanal adam kaçırma ve şantaj planlarında kullanılabilecek yapay zeka teknolojilerini de destekledi.
Bunlar arasında Telegram kanallarında reklamı yapılan ses değiştiren ve yüz değiştiren yapay zeka uygulamaları da yer alıyor.
Grup, genellikle seks şantaj planlarında kullanılan, rıza dışı derin sahte pornografi oluşturan virüslü değiştirici uygulamaları paylaştı.
Dağıtım Yöntemleri
Void Arachne, SEO zehirlenmesi ve hedef odaklı kimlik avı bağlantıları da dahil olmak üzere kötü amaçlı yazılımları dağıtmak için birden fazla başlangıç erişim vektörü kullanıyor.
Bu bağlantılar, meşru siteler gibi görünen, saldırganların kontrol ettiği web sitelerinde barındırılır ve arama motorlarında üst sıralarda yer alır.
Grup ayrıca kötü amaçlı MSI dosyalarını Çince temalı Telegram kanallarında paylaşarak enfeksiyon olasılığını artırıyor.
Tablo 2: Winos 4.0 Harici Eklentileri
| Çince Eklenti Adı | İngilizce Eklenti Adı | SHA256 Karma |
| 360 Hızlı Güvenlik Hesabı Şifresini Sil.dll | 360 Hızlı Güvenlik Hesabı Şifresini Sil.dll | 03669424bdf8241a7ef7f8982cc3d0cf56280a5804f042961f3c6a111252ffd3 |
| Dosya-EnableDebugPrivilege.dll | Ayrıcalıkları Yükseltin-EnableDebugPrivilege.dll | 11a96c107b8d4254722a35ab9a4d25974819de1ce8aa212e12cae39354929d5f |
| birim genişletme.dll | Birim Genişletme.dll | 186bf42bf48dc74ef12e369ca533422ce30a85791b6732016de079192f4aac5f |
Etki ve Öneriler
Bu kötü amaçlı MSI dosyalarının çoğalması kuruluşlar ve bireyler için önemli bir tehdit oluşturmaktadır.
Kötü amaçlı yazılımlar sistemin tehlikeye girmesine, veri hırsızlığına ve mali kayıplara yol açabilir.
Trend Micro, topluluğu cinsel şantaj saldırılarını tanımlama, önleme ve ele alma konusunda eğitmek için kapsamlı kaynaklar hazırladı.
Mağdurların, olayları İnternet Suçları Şikayet Merkezi (IC3) gibi ilgili makamlara bildirmeleri şiddetle tavsiye edilir.
Void Arachne’nin kampanyası, siber tehditlerin artan karmaşıklığını ve sağlam siber güvenlik önlemlerine duyulan ihtiyacı vurguluyor.
Bireyler ve kuruluşlar, dikkatli kalarak ve kapsamlı güvenlik uygulamalarını benimseyerek kendilerini bu tür kötü niyetli kampanyalardan koruyabilirler.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free