DarkCloud Stealer, yakın zamanda kimlik avı kampanyalarını ikna ederek finansal kuruluşları hedefleyen güçlü bir tehdit olarak ortaya çıktı. Rakipler, çok aşamalı bir JavaScript tabanlı yük sunmak için meşru belgeler olarak maskelenen silahlandırılmış rar ekleri kullanırlar.
Arşivi açtıktan sonra, kurbanlar, zararsız görünen görüntü dosyalarına gizlenmiş bir PowerShell indiricisini başlatmak için Windows Script ana bilgisayarını kullanan bir VBE komut dosyası yürütür.
Bu başlangıç erişim vektörü, kullanıcıların rutin finansal yazışmalara olan güvenini kullanır ve geleneksel güvenlik kontrollerinden kaçınmak için tasarlanmış otomatik kod çözme ve şifre çözme adımlarını tetikler.
Eylül 2025’in başlarında, güvenlik ekipleri, bankacılık sektöründeki kurumsal e -posta hesaplarına gönderilen kötü niyetli RAR eklerinde dramatik bir artış gözlemledi.
Siber geçirmez analistler, “Paylaşım Kanıtı” adlı arşivin, yürütüldüğünde PowerShell’i yerleşik bir JPG dosyasını indirmeye çağıran bir VBE komut dosyası içerdiğini belirledi. universe-1733359315202-8750.jpg.
.webp)
Stealer’ın yükleyicisi bu görüntü içinde gizlenir ve kod çözme rutini .NET DLL modülünü doğrudan görüntü piksel verilerinden çıkarır.
Siber geçirmez araştırmacılar, PowerShell betiğinin, yükleyici DLL’yi oymadan önce farklı bir BMP başlık deseni bulmak için hafıza ofsetlerini titizlikle kontrol ettiğini belirtti.
Aşağıdaki snippet, indirilen görüntü baytlarını taramak için kullanılan çekirdek döngüsünü göstermektedir:-
for ($i=0; $i -lt $data.Length - $header. Length; $i++) {
$match = $true
for ($j=0; $j -lt $header.Length; $j++) {
if ($data[$i + $j] -ne $header[$j]) { $match = $false; break }
}
if ($match) { $offset = $i; break }
}DLL bellekte yeniden yapılandırıldıktan sonra, komut dosyası çağırır [Reflection.Assembly]::Load() Diske dokunmadan yükleyiciyi yürütmek için.
Kalıcılık ve kimlik doğrulama hırsızlığı
Belleğe yüklendikten sonra, DarkCloud Stealer, bir JavaScript yükünü Windows Run Run Defter tuşuna kopyalanmış bir dosya adı altında kopyalayarak kalıcılık oluşturur (M3hd0pf.exe MSBUILD.EXE olarak maskelenerek), her kullanıcı girişinde yürütülmesini sağlar.
Stealer daha sonra, proses oyma tekniklerini kullanarak msbuild.exe ve mtstocom.exe gibi meşru süreçlere enjekte eder ve Chrome’s gibi tarayıcı veritabanlarından kaydetmiş kimlik bilgilerini sifon yapmasını sağlar Login Data.
Uç nokta algılama platformlarından gelen uyarılar, DPAPI erişim olaylarını ve bellek eşlemesini tarayıcı işlemlerine dönüştürerek, depolanan şifreleri doğrudan bellekte şifresini çözme girişimlerini ortaya koyar.
.webp)
Son olarak, çalınan veriler kullanıcı dizinlerinde düzenlenir ve FTP ve HTTP kanalları aracılığıyla dinamik alan kümelerine (.shop, .xyz) eklenerek ağ tabanlı algılamayı karmaşıklaştırır.
Finansal kurumlardan, bu sinsi kampanyayı hızla tespit etmek ve bozmak için anormal VBE/VBS yürütme, beklenmedik kayıt defteri temel değişiklikleri çalıştırması ve kamu indirme klasörlerindeki javaScript dosyalarını izlemesi istenir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.