DarkCloud Bilgi Stealer’ın gelişmiş yeni bir varyantı, siber tehdit manzarasında ortaya çıktı ve hassas kimlik bilgilerini ve finansal bilgileri hasat etmek için tasarlanmış özenle hazırlanmış kimlik avı kampanyaları aracılığıyla Windows kullanıcılarını hedef aldı.
Bu sözlü olmayan kötü amaçlı yazılım varyantı, gelişmiş kaçırma teknikleri ve tespiti özellikle geleneksel güvenlik çözümleri için zorlayıcı hale getiren çok aşamalı dağıtım mekanizmaları kullanan stealer teknolojisinde önemli bir evrimi temsil eder.
Kampanya, acil iş alıntıları olarak gizlenmiş RAR arşivlerini içeren aldatıcı kimlik avı e -postalarıyla başlıyor.
Mağdurlar “ #s_260627.js alıntı” adlı JavaScript dosyasını çıkardığında ve yürüttüğünde, kötü amaçlı yazılım, tehlikeye atılan sistemde geleneksel dosya imzaları bırakmadan darkcloud yükünü dağıtan karmaşık bir enfeksiyon zinciri başlatır.
.webp)
Saldırı vektörü, kullanıcıları kötü amaçlı ekler açmaya yönlendiren meşru iş iletişimi sunarak sosyal mühendislik taktiklerinden yararlanıyor.
Fortinet analistleri, bu yeni DarkCloud varyantını Temmuz 2025’in başlarında tanımladı ve süreç oyma tekniklerinin ve filessiz dağıtım stratejilerinin sofistike kullanımına dikkat çekti.
Araştırmacılar, bu kampanyanın özellikle kaydedilmiş giriş bilgileri, ödeme kartı bilgileri ve web tarayıcıları, e -posta istemcileri ve FTP yazılımı dahil olmak üzere birçok popüler uygulamada depolanan kişi listelerini hedeflediğini gözlemlediler.
Kötü amaçlı yazılım, Google Chrome, Microsoft Edge, Mozilla Firefox ve Cesur Tarayıcı gibi büyük web tarayıcılarını hedefleyen veri hasat özelliklerinde özel bir gelişmişlik gösterir.
Hassas bilgileri çıkarmak için tarayıcı veritabanlarına karşı belirli SQL sorguları yürütür: SELECT origin_url, username_value, password_value FROM logins kimlik bilgisi hasat için ve SELECT name_on_card, expiration_month, expiration_year, card_number_encrypted FROM credit_cards Finansal veri çıkarma için.
Gelişmiş kalıcılık ve kaçınma mekanizmaları
DarkCloud varyantı, enfekte sistemlerde kalıcılığı korumak ve tespitten kaçınmak için birkaç sofistike teknik kullanır.
Başarılı yürütme üzerine, kötü amaçlı yazılım, ilk JavaScript dosyasını kopyalayarak kalıcılık oluşturur. C:\Users\Public\Downloads\edriophthalma.js ve altında bir otomatik işletme kayıt defteri girişi oluşturmak HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
.webp)
Bu, kötü amaçlı yazılımın sistem başlatma sırasında otomatik olarak yürütülmesini ve yeniden başlatmalarda varlığını korumasını sağlar.
Bu varyanttaki en dikkat çekici teknik ilerleme, söz konusu dağıtım stratejisinde yatmaktadır.
Kötü amaçlı yazılım, görünüşte zararsız bir JPEG görüntüsü indiriyor archive.org/download/universe-1733359315202-8750/universe-1733359315202-8750.jpg Bu aslında piksel verilerine gömülü şifreli bir .NET DLL içerir.
PowerShell bileşeni, görüntü dosyasını ayrıştırarak ve montajı doğrudan belleğe yükleyerek bu gizli yükü çıkarır. [Reflection.Assembly]::Load() yöntemler.
Otomatik analiz sistemlerinden kaçınmak için DarkCloud GetAsyncKeyState() API.
Kötü amaçlı yazılım, gerçek klavyeyi veya fare aktivitesini algılayana kadar uykuda kalır ve gerçek kullanıcı etkileşiminden yoksun olan kum havuzlu ortamları etkili bir şekilde atlar.
Bu davranışsal analiz kaçırma otomatik güvenlik test platformları için önemli bir zorluğu temsil etmektedir.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın