Esentire Tehdit Müdahale Birimi’nden (TRU) yakın tarihli bir güvenlik araştırması, siber suçluların özel verileri almak için kullandığı DarkCloud olarak bilinen tehlikeli bir bilgi çalma kötü amaçlı yazılımının (Infostealer) ani yükselişini ortaya koydu.
Tru araştırmacıları, Eylül 2025’te imalat endüstrisindeki müşterilerine karşı saldırı girişiminde DarkCloud Infostealer, sürüm 4.2’nin en son sürümünü keşfetti.
DarkCloud yeni değil, ancak VB6 adlı bir programlama dili kullanılarak tamamen yeniden yazıldı. Temmuz 2025’te kolluk kuvvetleri tarafından kapatılan Rus siber suç forumu XSS.is’de satıldı.
Hackread.com’un o sırada bildirdiği gibi, yetkililer Ukrayna’da şüpheli bir yöneticiyi tutukladıktan sonra 23 Temmuz 2025’te ele geçirildi. Ancak, 24 Temmuz’a kadar, XSS forumunun ayna ve .onion alan adları kullanılarak tekrar çevrimiçi olduğu doğrulandı.
Bugün, kötü amaçlı yazılım kendi web sitesinde satılmaktadır, darkcloud(.)onlinewebshop(.)netve ayrıca Mesajlaşma Uygulaması Telegram aracılığıyla, @BluCoder.
Kimlik avı
Esentir Tru, saldırının finansal bilgilerle ilgili gibi görünen ve kötü niyetli sıkıştırılmış bir dosyaya sahip bir kimlik avı e -postasıyla başladığını açıkladı. E -posta “procure@bmuxitq(.)shop”Ve“ Swift Mesaj MT103 Addiko Bank AD: FT2521935SVT ”konusu ile temalı. Ekli kötü niyetli sıkıştırılmış dosya “Swift mesajı MT103 FT2521935SVT.zip. “
Bu, “kimlik avı e -postalarının kötü amaçlı yazılım dağıtımı için kilit bir vektör olarak kalmaya devam ettiğini” gösteriyor. Bu, bu sahte e -postaların hala bu yazılımın bir sisteme girmesinin ana yollarından biri olduğu anlamına gelir. Araştırmacılar spam e -postalarını yakaladılar ve Eylül 2025’te Müşterileri için DarkCloud Infostealer teslimatını durdurdular.
DarkCloud Infostealer ne çalıyor?
Bu kötü amaçlı yazılım, çeşitli hassas bilgileri çalmak için tasarlanmıştır. Bu, tarayıcı şifreleri, kredi kartı numaraları, web sitesi çerezleri, FTP için oturum açma bilgileri, yazdığınız şey (tuş vuruşları) ve hatta panonuzdan içerik içerir.
Ayrıca belgeler ve elektronik tablolar gibi dosyaları da hedefler ( .txt, .pdf, .docVe .xls), kripto para cüzdanları ve Thunderbird, Mailmaster ve EM istemcisi dahil e -posta istemcilerinden iletişim bilgilerini çıkarır. Daha sonra tüm bu çalınan veriler, Telegram, FTP, e -posta veya hatta PHP komut dosyaları kullanan bir web paneli gibi kanallar kullanılarak suçlulara gönderilir.
Darkcloud Infostealer ile savaşın
Esentir Tru sadece tehdidi analiz etmekle kalmadı, aynı zamanda diğer güvenlik araştırmacılarına yardımcı olacak iki yararlı program yayınladı. Bir araç kötü amaçlı yazılımın kurulum ayrıntılarını çıkarabilir, diğeri gizli kodunu açabilecek Python tabanlı bir komut dosyasıdır. Kendinizi bu gibi tehditlerden korumak için, araştırmacılar, içinde yürütülebilir programlarla sıkıştırılmış klasörler gibi şüpheli dosyaları engelleyen e -posta korumasını kullanmanızı önerir.