DarkCloud Stealer, silahlandırılmış RAR dosyaları aracılığıyla finansal firmaları hedefliyor

   Eylül 15, 2025  Posted in GBHackers


Ağustos 2025, DarkCloud Stealer’ın dünya çapında finans kurumlarına karşı hedeflenen saldırılarında dramatik bir artış gördü.

Cyberproof’un MDR analistleri ve tehdit avcıları, Windows kullanıcılarını avlamak için tasarlanmış kötü niyetli RAR arşivleri taşıyan bir kimlik avı e -postaları dalgası belirlediler.

Bir kez yürütüldükten sonra, bu arşivler e -posta istemcileri, FTP yardımcı programları ve web tarayıcılarından sifon giriş bilgileri için tasarlanmış çok aşamalı bir yükü serbest bıraktı.

EDR uyarıları, msBuild.exe’ye sofistike süreç enjeksiyonunu ortaya çıkardı ve daha fazla araştırma, bir JPEG dosyasına gömülü yeni bir DarkCloud yükleyicisini PowerShell üzerinden alındı.

Eksfiltrasyon hem FTP hem de SMTP kanalları üzerinde gerçekleşir. Bu makale, öldürme zincirindeki her bağlantıyı – ilk rar damlalığından kayıt defteri kalıcılığından nihai veri açığa çıkarmaya kadar inceliyor – savunuculara, uzlaşma ve algılama stratejilerinin kesin göstergelerini sunarak

Saldırı, ödeme kanıtı adlı bir ek içeren bir kimlik avı e -postasıyla başlar.

Kullanıcıdan ActivTy indirme indirgesini gösteren cihaz zaman çizelgesi.
Kullanıcıdan ActivTy indirme indirgesini gösteren cihaz zaman çizelgesi.

Ekstraksiyon üzerine kurban ödeme kanıtı ile karşılaşır.

Bu VBE komut dosyası, evren-1733359315202-8750.jpg (SHA256: 89959AD7B1AC18BBD1E850F5AB0B5FCE16596BCE0F1F8AAFBD16596BCE0F1F8AAFBD16596BCE0F1F8AAFBD16596BCE.

İndirilen JPG dosyası, DarkCloud Loader .NET DLL dosyasını yerleştirmiştir.
İndirilen JPG dosyası, DarkCloud Loader .NET DLL dosyasını yerleştirmiştir.

JPEG’nin içinde bir DLL yükü – DarkCloud yükleyici – şifreli ve yalnızca komut dosyasının yansıma tabanlı şifre çözme rutini ile geri kazanılabilir.

Yükleyici özellikleri

Şifre çözme işleminin ardından yükleyici koşumları [Reflection.Assembly]::Load() Bir .NET düzeneğini belleğe somutlaştırmak ve giriş noktasını çağırır.

Bu yükleyici, saldırgan kontrollü altyapıdan ek modüller alır ve bir JavaScript dosyasını kopyalayarak kalıcılık oluşturur. C:\Users\Public\Downloads\wardian.js.

Bu JS dosyasını bir cmd.exe çağırma aracılığıyla her kullanıcı oturumunda başlatmak için HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run altında bir kayıt defteri anahtarı oluşturulur.

İkincil bir kalıcılık taktiğinde, stealer maskeli bir yürütülebilir dosyayı bırakır –M3hd0pf.exe– Kullanıcının AppData dolaşım klasöründe, tekrar msBuild.exe kisvesi altındaki Run anahtarına kaydedilir.

Her girişte yürütülmesi için kayıt defteri değerini ayarlayın.
Her girişte yürütülmesi için kayıt defteri değerini ayarlayın.

Bir zamanlar ikamet eden DarkCloud Stealer, meşru Windows yürütülebilir ürünlere karşı kod enjeksiyon saldırıları yapar.

Birincil hedef msBuild.exe’dir, stealer yükünü yüklemek için belleğini boşaltır. MTSTOCOM.EXE’ye müteakip bir enjeksiyon, krom tabanlı tarayıcılardan ve Outlook profillerinden depolanan kimlik bilgilerini çıkarmak için rutinleri tetikler.

EDR uyarıları, bu oyuk olaylarını ve kimlik bilgisi erişim girişimlerini işaretleyerek hızlı olay yanıtı için önemli telemetri sağladı.

Dosya ‘C:\Users\\AppData\Roaming\Windows Multimedia Platform\M3hd0pf.exe’ MsBuild.exe’yi başlatan Run klasörüne bırakıldı.

Her kullanıcı girişinde maskeli işlem m3hd0pf.exe'yi yürütmek için kayıt defteri çalıştırma anahtarında değer ayarlayın.
Her Kullanıcı Oturum Açma M3HD0PF.EXE Tasarlanmış işlemi yürütmek için kayıt defteri çalıştırma anahtarında değer ayarlama

DarkCloud operatörleri, geçici komut – ve – kontrol uç noktaları oluşturmak için bir etki alanı oluşturma algoritması kullanır.

Tehdit avcıları DNS aramaları ve HTTP bağlantılarını Bluurjbxy dahil olmak üzere alanlara gözlemledi[.]Mağaza, Dmetis[.]xyz, rangersorange[.]Tıklayın ve Finansal Güvenilir[.]xyz.

Eksfiltrasyon kanalları hem FTP hem de SMTP protokollerini kapsar ve hasat edilen verilerin güvenilir aktarılmasını sağlar. Stealer paketleri kimlik bilgileri ve tarayıcı, gönderilmeden önce şifreli arşivlere eser verir.

Tespit ve av stratejileri

Savunucuları güçlendirmek için, siber geçirmez tehdit intel analistleri gelişmiş av sorguları geliştirdi: biri Outlook süreçlerinden ortaya çıkan VBE, VBS veya JS dosyalarının yürütülmesini ve diğeri bilinen tarayıcı yollarından şüpheli kimlik bilgisi erişimlerini işaretlemek için.

Olağandışı bellek eşlemeleri için MSBuild.exe ve mtstocom.exe izlemek için ayarlanmış EDR kuralları enjeksiyon aşamasını önleyebilir.

Ağ izleme, kullanıcı iş istasyonlarından kaynaklanan nadir üst düzey alanlara ve otomatik FTP veya SMTP oturumlarına yönelik düzensiz bağlantılara odaklanmalıdır.

DarkCloud Stealer kampanyası, gelişen tehdit oyuncusu sofistike olanı örneklendirir – silahlandırılmış arşivleri, görüntü tabanlı yükleyicileri ve çift kanallı pespiltrasyonu kaldırır.

Ayrıntılı göstergeleri ve hafifletme taktiklerini kamuya paylaşarak, siber geçirmez organizasyonları savunmaları desteklemek, erken uzlaşma belirtilerini tespit etmek ve hassas finansal kimlik bilgileri kaybolmadan önce saldırgan öldürme zincirini bozmak için donatır.

Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.



Source link