Ünite 42 Araştırmacılar, bir Infostealer kötü amaçlı yazılım, ilk önce Nisan 2025’in başlarında teslimat mekanizmalarını kaydırdığını gözlemleyen DarkCloud Stealer’ın dağıtım taktiklerinde önemli bir evrim tespit ettiler.
Bu güncelleme, statik ve dinamik analizi engellemek için tasarlanmış Visual Basic 6 (VB6) yükü ile sonuçlanan Confuserex aracılığıyla gelişmiş gizlemeyi içeren yeni bir enfeksiyon zinciri sunuyor.
Gizli Stratejiler
Daha önce belgelenmiş saldırılar, kaçış için otomatik komut dosyası oluşturmaya dayanıyordu, ancak en son varyantlarda, her biri TAR, RAR veya 7Z arşivi içeren kimlik avı e-postaları tarafından başlatılan üç farklı zincir arasında çok katmanlı şifreleme ve koruma şemaları kullanıyor.
Bu arşivler, açık dizin sunucularından PowerShell (PS1) komut dosyalarını getiren gizlenmiş JavaScript (JS) veya Windows Script dosyaları (WSF) sunar.

Base64 ve AES ile şifrelenmiş PS1 komut dosyaları, son DarkCloud yükünü gömerek confuserex korumalı yürütülebilir dosyaları bırakın ve yürütür.
Bu zincirin karmaşıklığı, JS dosyaları için JavaScript-Obfuscator ve PS1’de özel AES şifre çözme, tehdit aktörlerinin pencerelerle geniş uyumluluğu korurken ters mühendisliği karmaşıklaştırmaya odaklanmasının altını çiziyor.
Confuserex’in teknik dökümü
Kötü amaçlı yazılım yapısına giren confuserex korumalı .NET yürütülebilir dosyalar, modül yapıcısında çalışma zamanı yöntemi gövde şifreleme yoluyla önleme önleyici özellikler, ASCII olmayan tanımlayıcılara yeniden adlandırma, opak tahminlerle kontrol akışı gizlemesi, doğrudan invokasyonları gizlemek için proxy çağrı yöntemleri ve sürekli kodlama.

Rapora göre, araştırmacılar geçersiz talimatları kaldırmak için antitamperkiller gibi araçları, sembol restorasyonu ve kontrol akışını çözme için DE4DOT-CEX ve proxy çağrıları, mantığı basitleştirmek için kaldırma, Convert.Frombase64String gibi standart .net yöntemlerini açığa çıkardılar.
Triple Des (3DES) şifreli formda depolanan şifre çözülmüş yük, XOR ile başlatılan uzunluk değerli biçimlendirilmiş bir bayt dizisi ve büyük bir imzasız tamsayı dizisinde bitsel işlemler, yasal regasm.exe işleminin askıya alınmış bir örneğine süreç oyununun enjekte edilmesi ile enjekte edilir.
Bu RunPE tekniği, VB6 tabanlı DarkCloud yürütülebilir dosyasının gizli bir şekilde yürütülmesine izin verir ve “DarkCloud” gibi gömülü dizeler kimliğini doğrular.
Komut ve kontrol (C2) için düzenli ifadeler, kayıt defteri yolları, dosya uzantıları ve telgraf API kimlik bilgileri dahil kritik dizeler, anti-analiz esnekliğini artıran, şifre metni başına benzersiz tuşlarla RC4 kullanılarak şifrelenir.
Kötü amaçlı yazılımların, geçici dizinlerde rastgele dosya adlandırma ile birleştiğinde, indirmeler ve yürütmeler için ActiveX nesnelerini kullanması, telgraf botlarına kalıcılığı ve veri açığa çıkmasını kolaylaştırır.
Darkcloud’un taktiklerindeki bu adaptasyon, confuserex ve VB6 entegrasyonu gibi gizleme katmanlarının geleneksel imza tabanlı tespitleri atlamayı ve davranış temelli analitik ihtiyacını vurgulamayı amaçladığı siber tehditlerde devam eden bir silah yarışını vurgulamaktadır.
Güvenlik ekipleri, anormal süreç enjeksiyonları, şifreli komut dosyası yürütmeleri ve bilinen kötü niyetli IP’lere bağlantılar için izlemeye öncelik vermelidir.
Palo Alto Networks ürünleri, makine öğrenme güdümlü analiz için gelişmiş orman yangını, ilişkili alanları engellemek için gelişmiş URL filtreleme ve DNS güvenliği ve davranışsal tehdit koruması yoluyla bilinmeyen kötü amaçlı yazılımları önlemek için Cortex XDR/XSIAM, sağlam savunmalar sunar.
Şüpheli uzlaşma durumunda, olay müdahale ekipleriyle derhal katılımın, bu gelişen infostealer’dan riskleri azaltması tavsiye edilir.
Uzlaşma göstergeleri
Dosya Türü | Sha256 karma |
---|---|
Rar arşivi | bd8c0b0503741c17d75ce560aeeaa0cd21dff323d9f1644c62b7b8b43d9 |
Katran arşivi | 9588C9A754574246D179C9FB05FEA9DC5762C855A32A4823B402217F82A71C1 |
JS Dosyası | 6b8a4c3d4a4a0a3aea5003744c5fec26a38d3fb6a596d006457f1c51bc75c7 |
PS1 Dosyası | F6d9198bd707c49454b8368af926cb8d13c7e43514f59eac150747e8fb140 |
WSF Dosyası | 72d3de12a0aa8ce87a64a70807f0769c332816f27dcf8286b91e6819e2197aa8 |
7Z Arşiv | FA598E761201582D41A73D174B5EDAD10F709238D99E0BFF698DA1601C71D1CA |
7Z Arşiv | 2bd43f839d5f77f22f619395461c1eeeee9234009b4752312b88bd510d00b7 |
İlk confuserex .NET exe dosyası | 24552408d84979b2cac983d499b1f32c8c10f8831939d0ec00fb01b19b4 |
Final DarkCloud VB6 exe dosyası | CE3A3E46CA65D779D687C7E58FB4A2EB784E5B1B4CEBE3DB2BF37CCB6F194 |
Kötü Yazılım Dağıtım URL’si | hxxp: //176.65.142.190 |
C2 URL | hxxps: //api.telegram.org/bot7684022823: aafw0jhsu-b4qs6n7yc88nuor8ovprcdirs/sendMessage? chat_id = 6542615755 |
The Ultimate SOC-as-a-Service Pricing Guide for 2025
– Ücretsiz indir