“Silverfox” olarak adlandırılan sofistike bir tehdit oyuncusu, en azından Haziran 2023’ten bu yana, öncelikle Çince zaman dilimi çalışma saatlerinde büyük ölçekli bir kötü amaçlı yazılım dağıtım kampanyası düzenliyor.
Bu operasyon, Çin’in içinde ve dışındaki Çince konuşan bireylere ve varlıklara odaklanarak, pencerelere özgü kötü amaçlı yazılımlar sunmak için 2.800’den fazla yeni oluşturulan alandan yararlanıyor.
Küresel olarak Çince konuşan kullanıcılar
Aktör, sahte uygulama indirme siteleri ve sahte oturum açma sayfalarına, pazarlama uygulamalarına, iş satış araçlarına ve kripto para ile ilgili uygulamalara gömülü sahte güncelleme istemleri gibi aldatıcı taktikler kullanır.
Bu yöntemler, kimlik bilgisi hırsızlığı, finansal sömürü ve potansiyel erişim aracıları için tasarlanmış kötü amaçlı yüklerin yayılmasını kolaylaştırarak büyük ölçüde tutarlı kalmıştır.
Haziran 2025 itibariyle analiz, Aralık 2024’ten bu yana tespit edilen 850’den fazla alandan 266’sının, kampanyanın sürekli altyapısı ve operasyonel esnekliğinin altını çizen kötü amaçlı yazılım dağıtımına aktif olarak yer aldığını ortaya koymaktadır.
Etki alanı kayıt kalıpları, tipik Çin çalışma saatlerinde oluşturulma tarihleri ve ilk görülen DNS çözünürlükleri kümelenmesiyle aktörün iş akışına ilişkin bilgiler sağlar.
Bu zamansal hizalama, altyapı ediniminin bu pencerelerde kötü amaçlı yazılım teslimi için sahte sitelerin dağıtılması gibi operasyonelleştirmeye geçiş yaptığı otomatik süreçlerin ve insan gözetiminin bir karışımını önermektedir.
Bu tür kalıplar sadece potansiyel bölgesel kökenleri vurgulamakla kalmaz, aynı zamanda profesyonellerin satış, pazarlama ve sınır ötesi işlerde, özellikle Çince dil yeterliliği ve bölgesel beklentilerle bağları olanlar için fırsatçı hedeflemeyi de gösterir.
Derinlemesine kötü amaçlı yazılım analizi
Önceki tespitlere yanıt olarak, Silverfox, site tarayıcılarından ve otomatik analiz araçlarından kaçınmak için anti-anti-anti-automation komut dosyaları ve tarayıcı emülasyon kontrollerini ekleyerek işlemlerini geliştirdi.
Aktör, Baidu, GTAG ve Facebook entegrasyonları gibi üçüncü taraf izleyicilere olan güvenini en aza indirirken, IP tabanlı kümelenmeyi azaltmak ve gizlemeyi arttırmak için genişletilmiş bir sunucu ayak izi üzerindeki etki alanı çözünürlüklerini dağıttı.
Kayıt detayları daha sağduyulu hale geldi ve ilişkilendirmeyi karmaşıklaştırmak için tanımlanabilir belirteçleri sıyırdı. Örnek alanların teknik diseksiyonu kötü amaçlı yazılım dağıtım zincirini göstermektedir.
Örneğin, googeyxvot[.]En iyi, herhangi bir giriş üzerine sahte bir tarayıcı uyumsuzluk hatasını tetiklemek için gizlenmiş JavaScript’i dağıtarak bir Gmail oturum açma sayfasını taklit ederek flashCenter_pl_xr_rb_165892.19.zip (sha-256: 7705AC81E004546B7DACF47531B830E31D3113E217ADEF1F8DD6A6F4B8E59B).
Bu zip, SVCHOST.13.exe (SHA-20056: A48043B50CDED60A1F2FA6B389E1983CE70D964D0669D47D86035AA045F4F556), svchost.13.exe (sha-20056: F1B6D793331EBD0D64978168118A4443C6F0ADA673E954DF02053362ee47917b))))))) 1C957470B21BF90073C593B020140C8C798AD8BDB2CE5F5D344E9E9C53242556).
Birincisi, https: //ffsup-s42.oduuu’dan şifreli yükleri getirerek bir indirici olarak işlev görür[.]com/yüklemeler%2F4398%2F2025%2F06%2F617.txt (SHA-256: E9BA41B81F2399E1D3CF085735A55505588733C71CBC6F), DECODS A ile DECOTS ALING ALIN 0x25 Gömülü bir PE dosyasını şifresini çözmek ve yürütmek için (SHA-256: 28E6C4D71B700AC93C827EF7968E3D8F9454EFF2E8DF5BAF2FFF6ACBFDF6C39).
Benzer şekilde, yeepays[.]XYZ, 收银台权限 .exe için bir indirme URL’si oluşturmak için Varlıklar/JS/External_load.js ve Varlıklar/İndir/FileName.js’den içe aktarılan JavaScript’i kullanarak bir Alipay Konulu Arabirimi’ni parlatıyor (sha-256: 21A0B62ADC71B276A5BC8A3170AB6E315AC2C0AFE8795CFEADE8461F00A804D2).
Coinbaw gibi kripto para temalı siteler[.]VIP, Coinbase gibi borsaları taklit ederek, aktörün kimlik avı cephaneliğini daha da örneklendirerek imal edilmiş oturum açma sayfalarına yönlendirir.
Kampanyanın finansal olarak motive olmuş doğası, kullanıcı güveninin fırsatçı sömürülmesinde belirgindir.
Chrome ve Edge gibi modern tarayıcılar, kötü niyetli indirmeleri engellemek için itibar kontrolleri ve imza analizi gerçekleştiren Google Safe Growing ve Microsoft Defender SmartScreen aracılığıyla riskleri azaltıyor. Ancak, gelişen tehditler kullanıcı uyanıklığını gerektirir.
Önerilen savunmalar, e-posta ağ geçitlerinde Gelişmiş Tehdit Koruması (ATP), yeni nesil antivirüs (NGAV) ve Windows sistemlerinde uç nokta algılama ve yanıt (EDR), DNS filtreleme, ağ segmentasyonu ve çok faktörlü kimlik doğrulama (MFA) uygulama içerir.
Tehdit zekası beslemelerini entegre ederek ve düzenli kimlik avı simülasyonları yürüterek, kuruluşlar Silverfox’un kalıcı operasyonlarına karşı esnekliği artırabilir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now