Esentire Tehdit Müdahale Birimi (TRU), Mayıs 2025 boyunca, tehdit aktörlerinin, HanjackLoader Malware Loader’ı kullanarak Xfiles Spyware olarak da bilinen DeerStealer kötü amaçlı yazılımını dağıttığı bir dizi kötü amaçlı kampanyayı ortaya çıkardı.
“Luciferxfiles” adlı bir kullanıcı tarafından karanlık web forumlarında satılan bu sofistike bilgi stealer, kripto para birimi cüzdanları, tarayıcı kimlik bilgileri, VPN detayları ve anlık messenger bilgileri de dahil olmak üzere çok çeşitli hassas verileri toplamak için tasarlanmıştır.
Saldırı zinciri kullanıcı kimlik bilgilerini hedefler
ClickFix olarak adlandırılan başlangıç erişim yöntemi, kurbanları Windows Run istemi aracılığıyla kötü niyetli bir PowerShell komutunu yürütmeye yönlendirir ve sonuçta son yük olarak DeerStealer’ı sağlayan karmaşık bir saldırı zinciri oluşturur.
.png
)
Meşru bir sistem özelliğinin bu sömürüsü, siber suçluların gelişen taktiklerinin geleneksel güvenlik önlemlerini atlamada altını çizmektedir.
Saldırı, bir ClickFix sayfasına kimlik avı yönlendirmesi ile başlar ve kullanıcıları curl.exe kullanarak kötü amaçlı bir Microsoft yükleyici (MSI) dosyası, “şimdi.msi” dosyasını indiren kodlanmış bir PowerShell komut dosyasını çalıştırmaya kandırır.
Rapora göre, bu yükleyici dosyaları C: \ ProgramData’ya dağıtır ve CMDRES.DLL’nin kurcalanmamış, imzasız bir sürümünü yüklemek için meşru, imzalı bir Comodo Internet Security Biner’i kaçırır.
Kancalı bir C çalışma zamanı (CRT) işlevi sayesinde, kontrol akışı, şifreli konfigürasyonları PNG görüntülerinde depolamak için steganografi kullanan HanjehackoLer’ı başlatmaya yönlendirilir.
Yükleyici, API’leri Hashed dışa aktarma adları ve daha sonraki aşamaları, analizi otomatikleştirmek için özel komut dosyalarını kullanarak BairRout.xd gibi gömülü dosyalardan çözer.
Sonunda, DeerStealer, input.dll gibi meşru ikili dosyaların modül stomlaması yoluyla işlemlere enjekte edilir.
HanjackLoader’ın teknik dökümü
Deerstealer’ın kendisi, kontrol akışı gizlemesi, sanal makine tabanlı dize şifre çözme ve komut ve kontrol (C2) sunucuları ile şifreli HTTPS iletişimi içeren sağlam bir tehdittir.
CPU adları ve kayıt defteri verileri gibi benzersiz tanımlayıcılar kullanarak kurban makinelerini parmak izleri, paketler bilgileri yapılandırılmış günlüklere çaldı ve 14’ten fazla kripto para birimi türü için pano kaçırmayı destekliyor.
Tarayıcı toplama özellikleri, kripto cüzdanları ve şifre yöneticileri için uzantıların yanı sıra 50’den fazla web tarayıcısını hedeflerken, Discord, Telegram, FileZilla ve Steam gibi masaüstü uygulamaları da artı işaretlerinde.
Bu kötü amaçlı yazılımın abonelik tabanlı modeli, premium katman için ayda 200 $ ‘dan başlayan ve profesyonel için 3000 $’ a ölçeklendirme, tehdit aktörlerine gizli uzaktan kumanda için gizli VNC, özel tıklama komut dosyaları ve Windows Defender ve SmartScreen için baypaslar sunar.
MacOS’u, AI entegrasyonunu ve otomatik kripto dengesi kontrolünü desteklemek için planlanan genişletmelerle Deerstealer büyüyen bir tehdit oluşturuyor.
Meşru araçların ve gelişmiş gizleme tekniklerinin kullanılması, Windows Run istemi gibi sistem işlevlerinden yararlanan bu tür sosyal olarak tasarlanmış saldırılara düşmeyi önlemek için artan uyanıklık, sağlam uç nokta koruması ve kullanıcı eğitimi ihtiyacını vurgular.
Siber suçlular araçlarını geliştirmeye devam ettikçe, önde kalmak, kritik verileri tehlikeye atmadan önce bu karmaşık tehditlerin tespit edilmesi ve hafifletilmesi için proaktif bir yaklaşım gerektirir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin