Arctic Wolf Laboratuvarlarındaki siber güvenlik araştırmacıları, günlük görüntüleri kötü amaçlı yazılımlar için Truva atlarına dönüştüren, Brezilya’nın Hizmet Olarak Yükleyicisi (LaaS) olan Caminho adlı kurnaz yeni bir tehdidi ortaya çıkardı.
Mart 2025’ten bu yana etkin olan ve Haziran ayı itibarıyla hızla gelişen bu işlem, archive.org gibi güvenilir sitelerde barındırılan dosyaların içinde En Az Önemli Bit (LSB) steganografisini kullanarak .NET yüklerini gizler.
Bu teknik, saldırganların uzaktan erişim araçlarını ve bilgi hırsızlarını savunmalardan geçirerek Güney Amerika, Afrika ve Doğu Avrupa’daki işletmeleri hedef almasına olanak tanıyor.
Saldırı, sahte faturalar veya acil fiyat teklifleri gibi sosyal mühendislik yemleriyle bağlanmış, JavaScript veya VBScript dosyaları içeren RAR veya ZIP arşivleri olarak gizlenen hedef odaklı kimlik avı e-postalarıyla başlıyor.
Bu komut dosyaları açıldıktan sonra, Paste.ee gibi Pastebin hizmetlerinden gizlenmiş PowerShell kodunu getirir ve daha sonra meşru arşivlerden görünüşte masum olan görüntüleri çeker.
Bu JPG veya PNG dosyalarının içinde, LSB steganografisi yoluyla çıkarılan Caminho (Portekizce “yol” anlamına gelir) adlı bir .NET yükleyicisi gizlidir ve görüntünün görünümünü değiştirmeden kötü amaçlı verileri kodlamak için piksel renklerinin en az önemli parçalarını değiştirir.
PowerShell betiği görüntüde benzersiz bir bayt imzası arar, yerleşik veriyi yalıtır ve antivirüs taramalarından kaçınmak için disk yazma işlemlerini atlayarak doğrudan belleğe yükler.
Yükleyici, buradan son kötü amaçlı yazılımı Windows hesap makinesi calc.exe gibi zararsız süreçlere enjekte ederken, zinciri her dakika yeniden çalıştıran zamanlanmış görevler aracılığıyla kalıcılığı ayarlar.
Bu dosyasız yaklaşım, VM tespiti ve hata ayıklayıcı kontrolleri gibi analiz karşıtı hilelerle birleştiğinde Caminho’nun fark edilmesini oldukça zorlaştırıyor. Araştırmacılar, tamamı yoğun karmaşıklığa sahip ancak tutarlı Portekizce dizeler ve ilginç bir HackForums ad alanı içeren 71 örneği analiz etti; bu da yeniden kullanım için oluşturulmuş modüler bir tasarıma işaret etti.
Hizmet Olarak Yükleyici Yük Çeşitliliğine Yakıt Sağlar
Caminho’yu diğerlerinden ayıran şey iş modelidir: operatörlerin özel kötü amaçlı yazılım dağıtmak için yükleyiciyi kiraladığı ve herhangi bir URL’yi esneklik argümanı olarak kabul ettiği bir hizmet.
Gözlemlenen yükler arasında kurşun geçirmez barındırma yoluyla uzaktan kontrol için çok yönlü REMCOS RAT; Gölgeli alanlardan XWorm; ve ilk kez Mayıs 2025’te Nextron Systems tarafından fark edilen, kimlik bilgilerini toplayan Katz Stealer.
Aynı steganografik görüntüler, farklı oyunsonlarına sahip kampanyalarda ortaya çıkıyor ve bu kiralama kurulumunu doğruluyor ve yük çeşitliliğini açıklıyor.
Altyapı, sahneleme için yasal platformları (görüntüler için archive.org, komut dosyaları için yapıştırma siteleri) ve yayından kaldırmalarıyla bilinen Railnet LLC gibi sağlayıcılardaki dayanıklı C2 sunucularını birleştirir.
Değişkenler, hatalar ve yorumlardaki yaygın Portekizce kodun yanı sıra Güney Amerika’da başlayan ve yerel çalışma saatlerinde artış gösteren hedefleme sayesinde yüksek güvenirliğe sahip ilişkilendirme, Caminho’yu Brezilya’ya bağlıyor.
Kurbanlar Brezilya, Güney Afrika, Ukrayna ve Polonya’daki endüstrileri kapsıyor ve steganografi operasyonu olgunlaştırdıkça coğrafi yayılma Haziran sonrasında hızlanıyor.
Burada ulus devlet havası yok; Bu, yasal trafiği kesintiye uğratmadan geleneksel bloklara meydan okumak için güvenilir siteleri kötüye kullanan, mali açıdan yönlendirilen bir siber suçtur.
Bunun gibi tehditler büyüdükçe uzmanlar, davranışsal tehlike işaretlerini yakalamak için korumalı alan ekleri, PowerShell günlük kaydı ve yapay zeka odaklı EDR gibi katmanlı savunmaları teşvik ediyor.
Caminho, steganografinin artık bir niş olmadığını gösteriyor; tespite karşı bir silahlanma yarışında spot ışıklarından kaçmanın bir yolu. Kampanyanın Ekim 2025’e kadar hâlâ aktif olması nedeniyle kuruluşların enfeksiyona giden bu gizli yollara karşı tetikte olmaları gerekiyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.