Kripto para biriminin yükselişi, siber suçluların şüphelenmeyen kullanıcıları istismar etmesi için yeni fırsatlar yarattı.
Saldırganlar artık kötü şöhretli DarkComet uzaktan erişim truva atını Bitcoin ile ilgili uygulamalar olarak gizleyerek, doğrulanmamış kaynaklardan araç indiren kripto para meraklılarını hedef alıyor.
Bu kötü amaçlı yazılım kampanyası, eski tehditlerin modern sosyal mühendislik teknikleriyle nasıl yeniden ortaya çıkmaya devam ettiğini gösteriyor.
DarkComet RAT, saldırganların virüslü sistemler üzerinde tam kontrol sahibi olmasına olanak tanıyan, iyi bilinen bir uzaktan erişim truva atıdır.
Yaratıcısı tarafından yıllar önce durdurulmasına rağmen, kötü amaçlı yazılım yeraltı forumlarında dolaşmaya devam ediyor ve oldukça etkili olmaya devam ediyor.
Saldırganlara tuş vuruşlarını kaydetme, dosya hırsızlığı, web kamerası gözetimi ve uzak masaüstü kontrolü gibi kapsamlı yetenekler sağlar.
Bu özellikler, çalınan kimlik bilgileri doğrudan mali kayıplara yol açabileceğinden, kripto para birimi kullanıcıları için onu özellikle tehlikeli hale getiriyor.
Bu kampanyada analiz edilen kötü amaçlı dosya, “94k BTC Wallet.exe” olarak gizlenen bir yürütülebilir dosya içeren sıkıştırılmış bir RAR arşivi olarak dağıtıldı.
Bu dağıtım yöntemi, saldırganların e-posta filtrelerini atlamasına yardımcı olur ve tespit oranlarını azaltır. Yürütülebilir dosya, antivirüs yazılımından daha fazla kaçınmak ve gerçek doğasını güvenlik analizinden gizlemek için UPX (Yürütülebilir Dosyalar için Ultimate Paketleyici) ile doluydu.
Point Wild güvenlik analistleri, Bitcoin ile ilgili şüpheli uygulamaları araştırdıktan sonra kötü amaçlı yazılımı tespit etti. Araştırma ekibi, sahte Bitcoin aracının çıkarılıp çalıştırıldığında DarkComet’in tüm yeteneklerini anında etkinleştirdiğini keşfetti.
Kötü amaçlı yazılım, meşru bir kripto para birimi işlevi sağlamak yerine, bulaştığı sistemde kalıcılık oluşturmaya başlar ve komuta ve kontrol sunucusuyla iletişim kurmaya çalışır.
Teknik Arıza ve Enfeksiyon Mekanizması
Kötü amaçlı yazılım, kendisini %AppData%\Roaming\MSDCSC\explorer.exe dosyasına kopyalayıp HKCU\Software\Microsoft\Windows\CurrentVersion\Run altında bir kayıt defteri anahtarı oluşturarak kalıcılık sağlıyor.
.webp)
Bu, sistem her yeniden başlatıldığında kötü amaçlı yazılımın otomatik olarak yürütülmesini sağlar. Bu, sıkıştırılmış RAR arşivinin dosya bilgilerini gösterirken aşağıdaki, CFF Explorer’da görünen UPX paketleme yapısını gösterir.
.webp)
Analiz, numunenin kritik operasyonel ayrıntıları içeren gömülü konfigürasyonunu ortaya çıkardı.
Kötü amaçlı yazılım, birden fazla örneğin aynı anda çalışmasını önlemek için DC_MUTEX-ARULYYD adlı bir muteks kullanıyor.
Ağ analizi, kvejo991.ddns.net adresindeki komut ve kontrol sunucusuna TCP bağlantı noktası 1604 üzerinden bağlantı yapılmaya çalışıldığını gösterdi.
C2 sunucusu test sırasında çevrimdışı olmasına rağmen tekrarlanan bağlantı denemeleri, DarkComet operasyonlarıyla tutarlı aktif işaret davranışının doğrulandığını doğruladı.
Paketten çıkarılan yürütülebilir dosya, .text, .data ve .idata dahil olmak üzere birden fazla standart PE bölümünü ortaya çıkardı.
Kötü amaçlı yazılım, gizli kalarak tuş günlüğü tutma ve ekran yakalama işlemlerini gerçekleştirmek için yükünü notepad.exe gibi yasal Windows işlemlerine enjekte ediyor.
Yakalanan tuş vuruşları, C2 kanalı üzerinden dışarı çıkarılmadan önce “2025-10-29-4.dc” gibi adlarla günlük dosyalarında depolanır.
Algılama için dosya karmaları arasında sıkıştırılmış arşiv için SHA256: 11bf1088d66bc3a63d16cc9334a05f214a25a47f39713400279e0823c97eb377 ve SHA256 bulunur: Paketlenmiş yürütülebilir dosya için 5b5c276ea74e1086e4835221da50865f872fe20cfc5ea9aa6a909a0b0b9a0554.
Kullanıcılar, güvenilmeyen kaynaklardan kripto para birimi araçlarını indirmekten kaçınmalı ve bu tür tehditleri etkili bir şekilde tespit etmek için güncel güvenlik yazılımını kullanmalıdır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
