Google Tehdit İstihbaratı, kötü niyetli .desktop dosyalarını tespit etmek için bir dizi sofistike tehdit avı tekniğini tanıttı.
Başlangıçta 2023’te Zscaler araştırmacıları tarafından belgelenen bu teknik, Linux masaüstü ortamlarında uygulama başlatma davranışını tanımlamak için kullanılan .desktop dosyaları-düz metin yapılandırma dosyalarının kötüye kullanılmasını içerir.
Google Tehdit İstihbaratı’na yüklenen bu tür dosyaların yakın tarihli bir artışı, derinlemesine bir analiz başlattı ve bu da bu tehditleri tanımlamak ve azaltmak için eyleme geçirilebilir stratejilerle sonuçlandı.
.png
)
Bu keşif, niyetlerini önemsiz kodla gizleyen ve kötü amaçlı yazılımları dağıtmak için meşru sistem süreçlerini kullanan siber suçluların gelişen taktiklerini vurgulamaktadır, genellikle Google Drive ile barındırılan PDF’leri daha sonraki kötü amaçlı yükler indirilirken dikkat dağıtıcı unsurlar olarak kullanır.
Linux sistemleri için kalıcı bir tehdit
Masaüstü giriş spesifikasyonuna bağlı olarak .desktop dosyalarının yapısı genellikle [Desktop Entry] İsim, yorum, yürütme ve simge gibi anahtarlarla, onları Linux dağıtımlarında taşınabilir hale getirir.

Bununla birlikte, Google Tehdit İstihbaratı tarafından tanımlanan kötü niyetli varyantlar normdan belirgin bir şekilde sapmaktadır.
Bu dosyalar genellikle gerçek amaçlarını gizlemek için meşru içerikle iç içe geçmiş binlerce ‘#’ karakter satırı ile başlar.
Yürütme üzerine, ‘EXEC’ değişken, XDG-Open gibi sistem yardımcı programlarını kullanarak Google Drive üzerinden görünüşte zararsız PDF’leri açabilen komutları tetikler, bu da XFCE’de exo-open gibi çevreye özgü işlemlere delege, Gio Gnome’da Open veya KDE’de KDE-open.
Google’ın Sandbox analiz raporunda, Exo-Helper-2-Reveal’a Exo-Open Proses zinciri-XDG-Open Firefox gibi varsayılan tarayıcılarda URL’lerin nasıl açıldığını, gizli kötü amaçlı yazılım aşamaları dağıtılır.
Standart Linux davranışının bu karmaşık kötüye kullanımı, Google Tehdit İstihbaratının hedeflenen sorgular ve davranışsal analiz yoluyla ele aldığı sağlam algılama mekanizmalarına olan ihtiyacı vurgulamaktadır.
Kesin tespit sorguları olan savunucular
Savunucuları güçlendirmek için Google Tehdit İstihbaratı, süreç davranışlarına ve dosya içeriğine odaklanan çeşitli av sorguları sağlar.
Bir yaklaşım, Şüpheli Etkinliği gösterebilen Google Drive URL’lerinin yanı sıra “–Launch WebBrowser” gibi argümanları arayarak yürütme zincirindeki son süreci Exo-Helper-2’yi hedefler.
Daha geniş sorgular, kötü niyetli .desktop dosyalarına bağlı URL oping davranışlarını yakalamak için XDG-Open, Exo-Open ve çevreye özgü komutlar gibi terimleri birleştirerek masaüstü ortamlarında süreçleri kapsar.
Ayrıca, XDG -Open tarafından yürütülen komutlardan yararlanan sorgular, “/usr/bin/grep -i ^xfce_desktop_window” veya “/usr/bin/xprop -root” gibi, Google Drive URL’leri veya PDF indirmeleri gibi göstergelerle eşleştirildiğinde ilgili örnekleri tanımlamaya yardımcı olur.
Jenerik tespit için “[Desktop Entry]”Dosyanın başlangıçtaki dize veya“ Exec = Bash -c ”gibi belirli içerik kalıpları, madenciyle ilgili ELF dosyaları gibi daha fazla kötü amaçlı yükler için indirici olarak hareket edenler veya yükleyiciler de dahil olmak üzere potansiyel tehditleri ortaya çıkarmanın bir yolunu sunar.
Aşağıdaki tabloda, 2025 yılında yüklenen, Zscaler tarafından bildirilen kampanyaya bağlı olan son örnekleri listelemektedir, ancak ilişkilendirme doğrulanmamıştır.
Yükleme ülkesinin, olası proxy kullanımı nedeniyle kurbanın yerini göstermediğini unutmayın.
Uzlaşma Göstergeleri (IOCS)
Dosya adı | SHA1 | Yükleme Tarihi | Ülke yükleme |
---|---|---|---|
Egzersiz Fırsatı, Ödeme Fiksasyonu için Seçenek Kullanımı. Desktop | C2f0f0fbb4fae94e7a5973f1f05208e197db983a09e2f7096bcf69a794d1 | 2025-04-30 | Hindistan |
WebEx Toplantısı için Gözden Geçirilmiş SOP – Mod.desktop | 8D61CE3651B070C8CDB76A334A16E53AD865572 | 2025-04-15 | Hindistan |
ASO ve SSA’ların rotasyonel transferlerinin pH-III’si altında aktarma. | EB3BE47387605BA194E5422C5F1E99E6968AF65 | 2025-04-09 | Hindistan |
Ödül Madalya Bildirgesi Formu.desktop | 1814730CB451B930573C6A52F047301BFF0B84D1 | 2025-04-08 | Avustralya |
NIC & GOV E -posta Kimliği Oluşturma.pdf.desktop için Yardım Kılavuzu | 040711b2e577fcdba8dc130f72475935893e8471 | 2025-04-04 | Hindistan |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!