Bu sahte çevrimiçi Speedtest uygulamaları, internet performanslarını ölçmek isteyen kullanıcıları avlar, ancak sistem bütünlüğünü ve gizliliğini tehlikeye atan gizli yükleri barındırırlar.
Daha önce analiz edilen sahte manuel okuyucu ve Finder yazılımı gibi, bu ithalatlar paketleyicilerden yararlanır, gizlenmiş JavaScript ve keyfi kod yürütmek ve hassas verileri dışarı atmak için kalıcılık mekanizmaları.
21 Eylül 2025’te, meşru hız testi araçları olarak görünen yeni bir kötü amaçlı uygulamalar dalgası ortaya çıkarıldı.
Enfeksiyon, bir kullanıcı standart bir masaüstü veya web tarafından barındırılan Speedtest yardımcı programı gibi görünen şeyi indirdiğinde başlar. Kurulum üzerine, yürütülebilir uygulanabilir, Inno Setup Packer’ı kullanarak kendisini açar, daha sonra node.js’yi gizlenmiş bir JavaScript dosyasının yanında dağıtır.
Bir görev.xml tanımı yoluyla iyi huylu bir ad altında kaydedilen planlanan görevin analizi, başlatıcının düğümü çağırdığı bir dosyayı çağırır temp.js.
Bu komut dosyası, gerçek yükünü yeniden yapılandırmak için çok aşamalı bir kod çözme rutini kullanır. Decose Fonksiyonu Yamalayarak:
js//return _0x4375f0.decode(_0xfca211);
return (() => { const r = _0x4375f0.decode(_0xfca211); console.log(r); return r; })();
Güvenlik araştırmacıları, yürütülmeden önce şifre çözülmüş dizeleri yazdırabildiler ve kötü amaçlı yazılımların sistem tanımlayıcılarını ve bunları uzak bir komut ve kontrol (C2) sunucusuna gönderdiğini doğruladı.
Yük ve veri açığa çıkması
JavaScript yükü yürütüldüğünde, MachineGuid için Windows Kayıt Defterini şu adresten sorgular. HKLM\Software\Microsoft\Cryptography ve bir JSON nesnesi oluşturur.
Komut dosyasının sabit kodlu alanları, sürüm meta verilerini içerir ("ver":0.2.1), uygulama tanımlayıcısı ve kayıt defteri değerleri.
Bu parametreler yoluyla serileştirilir JSON.stringify ve HTTPS Post aracılığıyla iletildi cloud.appusagestats[.]com. Bu etki alanını oluşturulan bir TLS sertifikasına sahip yerel bir dinleyiciye yönlendirerek, analistler tam bir gövdeyi yakaladı:
json{"ver":"0.2.1","a":"argString"}
Eşlik eden meta veri alanları gibi MachineGuid ve süreç tanımlayıcıları da gömülüdür ve uzlaştırılmış ana bilgisayarların benzersiz bir şekilde tanımlanmasını sağlar. Veri açığa çıktıktan sonra, komut dosyası C2’den komutlar bekler.
Kötü amaçlı yazılımın kendisine baktığımızda, dizeleri çıkarmak için yapabileceğimiz birkaç şey var: Gönderi verileri için burada görülen URL bölümünü takip eden bir json.stringify var:
Komut ve kontrol sunucusu yanıtı, XOR ile kodlanmış bir JSON yükü içeren bir uygulama/sekizli akış olarak gelir.
Kod çözme işlemi, yanıtın ilk 16 baytını bir XOR tuşu olarak (onaltılık olarak ifade edilir) almayı ve ardından bu anahtarı yükün geri kalanına uygulamayı gerektirir.
Şifre çözülmüş JSON tipik olarak bir "pl" Sunucu tarafından verilen komutlarla doldurulmuş dizi. Canlı analizde, bu dizi boştu, ancak çerçeve keyfi talimatlara izin veriyor.
Komutlar alındığında, kötü amaçlı yazılımlar node.js’s kullanır child_process.exec Sistem komutlarını ortaya çıkarmak.
Kavram kanıtı yanıtı, bir Windows Forms mesaj kutusu görüntüleyen gizlenmiş bir PowerShell çağrısını tetikledi. Bu, kimlik bilgisi boşaltma, fidye yazılımı dağıtım veya yanal hareket araçları dahil olmak üzere herhangi bir keyfi kodun yürütülme potansiyelini gösterir.
Hafifletme
Bu sahte SpeedTest uygulamalarının tespit edilmesi, ön uç işlevselliğin gizlenmesi ve meşru görünümü nedeniyle zorluklar yaratır. Uzlaşma göstergeleri şunları içerir:
- Uygulama dizinlerinde node.js ikili dosyalarının varlığı, aksi takdirde bunları gerektirmemelidir.
- Geçici dizinlerde JavaScript dosyalarını referans alan planlanan görevler.
- Trafik sonrası trafik sonrası bilinmeyen alanlara giden https gibi
cloud.appusagestats[.]com. - Task.xml veya Standart Olmayan Tuşlar altında kurulum sırasında oluşturulan kayıt defteri girişleri.
Sistem yöneticileri, bilinen iyi taban çizgilerine karşı planlanan görevleri ve yürütülebilir dosya sağlama toplamlarını denetlemelidir.
Uç nokta algılama ve yanıt (EDR) Çözümleri, NODE.JS veya PowerShell aracılığıyla çağrılan çocuk süreçlerinin kodlanmış yüklerle değiştirilmesini işaretleyebilir.
Engelleme .js Beklenmedik bağlamlar altında yürütme ve katı uygulama beyaz listesi uygulamak, saldırı yüzeyini daha da azaltır.
Sahte, gizlenmiş JS tabanlı kötü amaçlı yazılımların yeniden canlanması, zararsız Speedtest araçlarının kisvesi altında gelişen tehdit manzarasının altını çiziyor.
Saldırganlar kanıtlanmış enfeksiyon kalıplarını geri dönüştürür – packer kullanımı, gizlenmiş komut dosyası, planlı kalıcılık ve C2 iletişimi – yeni bir günlük hizmet kategorisini hedefler.
Uygulama tedarikinde, sağlam algılama politikalarıyla birleştiğinde, bu aldatıcı tehditlere karşı en iyi savunma olmaya devam etmektedir.
Kullanıcıların yalnızca doğrulanmış hız testi yazılımı indirmelerini ve anormal planlanan görevleri ve ağ trafiğini izlemelerini sağlamak, kuruluşların bu sinsi kampanyanın önünde kalmasına yardımcı olacaktır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.