Kasım 2025’te, sosyal mühendislik hilelerini gelişmiş hırsızlık araçlarıyla birleştiren yeni bir kötü amaçlı yazılım kampanyası ortaya çıktı.
Saldırı, suçluların kullanıcıları ClickFix olarak bilinen bir teknik olan Windows Çalıştır penceresi aracılığıyla komut çalıştırmaları için kandırmasıyla başlıyor.
Kullanıcılar bu talimatları izledikten sonra bilgisayarlarına tarayıcılardan, cüzdanlardan ve şifre yöneticilerinden hassas bilgileri çalmak için tasarlanmış gelişmiş bir kötü amaçlı yazılım parçası olan Amatera Stealer bulaşır.
İlk enfeksiyondan kısa bir süre sonra saldırganlar NetSupport RAT’ı dağıtarak kurbanın bilgisayarına tam uzaktan erişim sağlıyor.
eSentire güvenlik analistleri, kötü amaçlı yazılımı ikinci paragraftan sonra tespit etti ve bu kampanyanın, saldırganların maksimum hasar için birden fazla aracı birleştirme biçiminde önemli bir evrimi temsil ettiğini belirtti.
Saldırı zinciri dikkatle hazırlanmış sosyal mühendislik yoluyla çalışır. Saldırganlar, kullanıcıları Çalıştır istemini açmaya ve belirli komutları yürütmeye ikna eder.
Bu komutlar, sonunda Amatera Stealer’ı kurbanın makinesine ulaştıracak bir dizi gizli aşamayı tetikler. Bunu özellikle tehlikeli yapan şey, kötü amaçlı yazılımın gerçek amacını nasıl gizlediğidir.
Okunması ve anlaşılması kasıtlı olarak zorlaştırılmış, gizlenmiş PowerShell kodunu kullanır. Kötü amaçlı yazılım, güvenlik araştırmacılarının kafasını karıştırırken bir sonraki aşamanın şifresini çözmek için “AMSI_RESULT_NOT_DETECTED” dizesiyle XOR şifrelemesini içeren özel bir hile kullanıyor.
.webp)
Bu kampanyanın en endişe verici yönlerinden biri Amatera Stealer’ın kullandığı gelişmiş kaçınma tekniklerini içeriyor. Bu kötü amaçlı yazılımın orijinal adı ACR Stealer idi ve SheldIO adlı bir grup tarafından suç hizmeti olarak satılıyordu.
Artık Amatera olarak yeniden markalanan hırsız, antivirüs yazılımı ve uç nokta tespit sistemleri gibi yaygın güvenlik araçlarını atlatmak için WoW64 SysCall’ları kullanıyor. Bu, güçlü güvenlik araçlarının kurulu olduğu makinelerin bile savunmasız kalacağı anlamına gelir.
Enfeksiyon Mekanizması ve Tespitten Kaçınma
Enfeksiyon, MediaFire gibi hizmetlerden RC2 şifrelemesini kullanarak yükleri alan ve şifrelerini çözen .NET tabanlı bir indiriciyle başlıyor.
Bu indirici, güvenlik ekipleri için analizi zorlaştırmak amacıyla Agile.net ile donatılmıştır. Çalıştırıldığında, karmaşık süreç enjeksiyon tekniklerini kullanan Pure Crypter dolu bir dosyayı dağıtır.
Kötü amaçlı yazılım daha sonra sistem belleğindeki “AmsiScanBuffer” dizesinin üzerine yazarak AMSI’yi (Kötü Amaçlı Yazılımdan Koruma Tarama Arayüzü) devre dışı bırakır ve saldırının geri kalanı için Windows’un yerleşik güvenlik taramasını etkili bir şekilde kapatır.
Amatera, geleneksel güvenlik izlemeyi atlayan şifreli bağlantıları kullanarak komut sunucularıyla iletişim kurar. Tüm iletişimleri AES-256-CBC ile şifrelemek için WoW64 sistem çağrılarıyla birleştirilmiş Windows API’lerini kullanır ve trafik denetimini neredeyse imkansız hale getirir.
Kötü amaçlı yazılım, çalınan verileri zip dosyalarında topluyor ve bu şifreli kanalları kullanarak suç sunucularına gönderiyor. Yükleyici işlevi sayesinde, kripto para birimi cüzdanlarını içeren bilgisayarlar veya iş ağlarına bağlı makineler gibi değerli hedefler üzerinde seçici olarak ek yükleri çalıştırabilir.
Bu seçici yaklaşım, saldırganların düşük değerli hedefler üzerinde zaman kaybetmekten kaçınmasına ve gerçek finansal varlıklara sahip kuruluşlara odaklanmasına yardımcı olur. Bu kampanyanın gelişmiş doğası, modern güvenliğin neden birden fazla koruma katmanı gerektirdiğini vurguluyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
