Siber suç, uç nokta tespiti ve yanıtı (EDR), dolandırıcılık yönetimi ve siber suç
Saldırı zinciri LNK dosyaları, MSHTA ve bellek enjeksiyonu kullanır
Prajeet Nair (@prajeaetspeaks) •
16 Mayıs 2025
PowerShell, kodu doğrudan bilgisayar belleğine yükleyebildikleri ve geleneksel dosya tabanlı algılama yöntemlerinden kaçınabildikleri için bilgisayar korsanlarının yeni favori aracı haline geliyor.
Ayrıca bakınız: En son Geter ATT & CK değerlendirmeleri için tam kılavuz
Qualys’teki araştırmacılar, Remcos Remote Access Trojan’ı yürüten bir Shellcode Loader’ı ortaya çıkardılar. Şirket, Perşembe günü bir blog yazısında, “Onaylanmamış raporlar, bu yeni örneğin ‘K-yükleyici’ olarak adlandırıldığını gösteriyor, ancak kesin bir bulgu yapılmamıştır.”
Kampanya, bir ek olarak gizlenmiş bir LNK kısayolu olan bir kimlik avı e -postasıyla başlar ve bellekte PowerShell komut dosyalarını çalıştıran bir HTML uygulamasıyla biter. Saldırganlar kullanıyor mshta.exeMicrosoft HTML uygulamalarını yürütmek için bir Windows ikili, .hta dosya uzantısı. İkili, kötü niyetli .HTA dosyalarının proxy yürütülmesi için iyi bilinen bir vektördür.
Qualys’in analizi, gizlenmiş PowerShell yükleyicisinin bir anti-analiz mekanizması içerdiğini göstermektedir. String gizleme, özel kod çözücüler ve bellek içi yürütme teknikleri kullanımı, artan bir sofistike seviyeye işaret ediyor.
“Uzaktan kumanda ve gözetim” için kısa olan Remcos, kullanıcı etkinliğini, günlük tuş vuruşlarını, kimlik bilgilerini çalma ve enfekte olmuş makineleri uzaktan kontrol etme yeteneği ile bilinen ticari bir sıçandır. Sıklıkla yeraltı forumlarında satılır ve siber suç operasyonlarında yaygın olarak kullanılır.
Fortinet’li bir güvenlik araştırmacısı olan Xiaopeng Zhang, “Remcos’un arkasındaki saldırganlar taktiklerini geliştiriyor.” Dedi. “Kötü niyetli Excel ekleri yoluyla CVE-2017-0199 güvenlik açığından yararlanmak yerine, kurbanları kötü amaçlı bir HTA dosyası yürütmeye teşvik etmek için PDF simgeleriyle gizlenmiş aldatıcı LNK dosyalarını kullanıyorlar.”
Qualys araştırmacıları, komut dosyası çağrıları bellek tahsisi işlevlerini buldular. VirtualAlloc ve gibi yürütme rutinleri CallWindowProc Remcos’u doğrudan belleğe enjekte etmek ve çalıştırmak için. Bu, tehdit aktörlerinin, saldırıyı etkin bir şekilde algılamaya ve daha zor hale getirme için herhangi bir yürütülebilir dosyayı bırakmadan çalışmasına izin verir.
Bu yaklaşım, uç nokta güvenlik ürünleri tarafından algılanmayı önlemek için yerel pencereler yardımcı programlarından ve bellekte yerleşik tekniklerden giderek daha fazla yararlanan gelişmiş kötü amaçlı yazılım kampanyaları arasındaki daha geniş eğilimlerle uyumludur.
Araştırmacılar, LNK-MSHTA-Powershell kombinasyonu, MSHTA.EXE’nin güvenilir bir Microsoft ikili olduğundan ve kurumsal ortamlarda sıklıkla izin verildiğinden, gizli ve etkili bir yürütme yolunu sunduğunu söyledi.