Yeni tanımlanan ve “Caminho” (Portekizce “yol” anlamına gelir) adı verilen bir yükleyici, zararsız görüntü dosyaları içindeki kötü amaçlı .NET verilerini gizlemek için En Az Önemli Bit (LSB) steganografisini kullanan gelişmiş bir Hizmet Olarak Yükleyici platformu olarak ortaya çıktı.
Arctic Wolf Labs’ın araştırmasına göre operasyon ilk olarak Mart 2025’te gözlemlendi ve Haziran ayına gelindiğinde Güney Amerika’dan Afrika ve Doğu Avrupa’ya doğru genişleyerek önemli ölçüde gelişti.
Hizmet Olarak Modüler Yükleyici, Brezilya Menşei
Araştırma, tümü aynı çekirdek mimariyi ve kod genelinde Portekizce dilindeki yapıları paylaşan 71 örnek varyantı ortaya çıkardı; bunlar Brezilya menşeinin güçlü göstergeleridir. Mağdur çevreler Brezilya, Güney Afrika, Ukrayna ve Polonya’yı içeriyordu; bu da operasyonun tek bir kampanya aktörü yerine çok bölgeli hizmete dönüştüğünü gösteriyor.
Kurbanlara, iş temalı sosyal mühendislik kullanılarak hedef odaklı kimlik avı eklentileri aracılığıyla saldırı düzenlendi. İlk aşamada, bir PowerShell betiği getiren ve daha sonra archive.org gibi meşru platformlardan steganografik bir görüntü indiren, gizlenmiş JavaScript veya VBScript dağıtıldı.
Steganografi ve Dosyasız Yürütme
Caminho, bir yükü gizlemek için JPG veya PNG gibi görüntü dosyalarının içinde LSB steganografisini kullanıyor. PowerShell betiği, gömülü .NET yükleyiciyi görüntüden çıkarır, diske yazmadan doğrudan belleğe yükler ve calc.exe gibi meşru bir Windows işlemine enjekte eder. Araştırmacılar teknik rutini şöyle tanımladılar: “[the script] çıkarılan BMP’yi bir Bitmap nesnesi olarak yükler ve her piksel boyunca yinelenir… bu renk kanalı değerleri, gizli ikili verileri kodlar.
Bu “dosyasız” yürütme modeli, geleneksel disk tabanlı tespitten kaçınmaya yardımcı olur. “Amandes” veya “amandines” adı verilen zamanlanmış görevler aracılığıyla devam eden yükleyici, yeniden başlatmalardan sonra bile devam eder.
Teslimat Altyapısı ve Yük Çeşitliliği
Teslimat zinciri modülerdir. Yükleyici çalıştırıldıktan sonra, argüman olarak iletilen URL’ler aracılığıyla son aşamadaki kötü amaçlı yazılımları getirir. Halihazırda gözlemlenen yükler arasında ticari uzaktan erişim truva atı REMCOS RAT, XWorm ve kimlik bilgisi hırsızı Katz Stealer yer alıyor.
Kampanyalar genelinde steganografik görüntüleri ve C2 altyapısını yeniden kullanan operasyon, LaaS (Hizmet Olarak Yükleyici) iş modelini yansıtıyor. Bir örnek: “universe-1733359315202-8750.jpg” resim dosyası, farklı yüklere sahip birden fazla kampanyada göründü.
Altyapıları da aynı şekilde akıllıca tasarlanmıştır. Kampanya, stego-görüntüleri barındırmak için Archive.org gibi meşru hizmetlerden ve komut dosyalarının hazırlanması için Paste.ee, Pastefy.app gibi yapıştırma tarzı hizmetlerden yararlanıyor ve kötü amaçlı içeriğin zararsız trafikle harmanlanmasını sağlıyor. Kampanyanın komuta ve kontrolü için, kurşun geçirmez barındırma özelliğiyle bilinen AS214943 (Railnet LLC) üzerindeki “cestfinidns.vip” gibi alanlar kullanıldı.
Caminho defans oyuncularına zorluk çıkarıyor çünkü:
-
Steganografik görüntüler imza tabanlı tespitten kaçar ve zararsız görünür.
-
Dosyasız yürütme, yüklerin diske yazılmasını önleyerek adli izlenebilirliği sınırlandırır.
-
Modüler hizmet mimarisi, birden fazla kötü amaçlı yazılım ailesine geniş ölçekte izin verir.
-
Meşru barındırma ve hazırlamanın kullanılması ağ tabanlı tehlike işaretlerini azaltır.
-
Portekizce dilindeki yapılar ve Brezilya çalışma saatlerindeki hedefleme, bölgesel kökene işaret ediyor, ancak altyapı küresel operasyonları destekliyor.
Caminho, modern yükleyicilerin eski saldırı araçlarını (kimlik avından komut dosyası bırakma, süreç ekleme ve uyuyan görevler) steganografi ve hizmet benzeri mimariler yoluyla gelişmiş saldırı ile nasıl harmanladığını gösteriyor. Kampanya coğrafyasını ve veri yükü desteğini genişlettikçe, hedeflenen bölgelerdeki (özellikle Güney Amerika, Afrika ve Doğu Avrupa) kuruluşlar, açığa çıkmalı, proaktif bir şekilde arama yapmalı ve görüntü dosyalarının, indirme kaynaklarının ve süreç ağaçlarının bütünlüğünü doğrulamalıdır.