Haziran 2025’te önde gelen saldırı vektörü olarak tanımlanan infosterers sunan çatlak uygulamalar

Ahnlab Güvenlik İstihbarat Merkezi (ASEC), Haziran 2025’te Keygens ve Cracked yazılımı birincil saldırı vektörü olarak gören Infostealer kötü amaçlı yazılımları tanımlayan kapsamlı bir analiz yayınladı.

Bu kötü amaçlı yazılım, arama sonuçlarında kötü amaçlı dağıtım sitelerini yükseltmek için Gelişmiş Arama Motoru Optimizasyonu (SEO) zehirlenmesi kullanır.

ASEC’in çatlak izleme, e-posta honeypotları ve C2 (komut ve kontrol) analiz araçları dahil otomatik kötü amaçlı yazılım toplama sistemleri, örnekleri gerçek zamanlı olarak toplayarak, C2 göstergelerini çıkararak ve ATIP IOC hizmeti aracılığıyla yayarak proaktif tehdit azaltmayı etkinleştirdi.

Bu altyapı, sadece kötü niyetli belirlemeyi otomatikleştirmekle kalmaz, aynı zamanda daha geniş tehdit istihbarat paylaşımı için Virustotal gibi platformlarla entegre olur ve güvenlik ekiplerinin C2 iletişimlerini önleyici olarak engellemesine izin verir.

Otomatik zeka

Rapor, Infostealer çeşitliliğinde dikkate değer bir değişimi vurgulamaktadır, Lummac2 yüksek dağıtım hacimlerini koruyan ancak Rhadamanthys, Acrstrealer, Vidar ve Stealc gibi varyantlardan, özellikle de gelişmiş evasion teknikleri nedeniyle artan yeni modifiye edilmiş bir akresterer ile karşı karşıya.

Yıllık dağılım verileri, Haziran ayında infostealer hacimlerinde önceki aylara kıyasla keskin bir düşüş ortaya koyuyor, büyük ölçüde LummAC2 aktivitesine atfediliyor, ancak ASEC sistemleri virustotal kullanılabilirliklerinden önce çoğu numuneyi topladı ve otomatik yanıtların etkinliğini vurguladı.

Tehdit aktörleri, geleneksel güvenlik çevrelerini atlayarak aldatıcı bağlantılar yayınlamak için forumlar, Soru -Cevap Kurulları ve şirket yorum bölümleri gibi meşru web sitelerini giderek daha fazla kullanıyor.

Kaçınma taktikleri ortaya çıktı

Yürütme yöntemleri ağırlıklı olarak doğrudan exe formatlarını (vakaların% 94.4’ünü) desteklemektedir, daha küçük bir kesir (% 5.6) DLL sidel yükleme kullanır, burada kötü niyetli DLL’ler kod enjeksiyonu için dinamik bağlantıdan yararlanmak için iyi huylu yürütülebilir ürünlerle eşleştirilir.

Meşru DLL’lerde minimal değişiklikleri içeren bu teknik, genellikle orijinal dosya imzalarını taklit ederek algılamadan kaçınarak güvenlik çözümlerinde ileri davranışsal analiz ihtiyacını vurgular.

Haziran ayında ortaya çıkan eğilimler, 2024 yılından bu yana C2 iletişimi, Mask Trafiği için HTTP konakçı alan sahtekarlığı ve NTDLL manuel harita ve cennetin kapısı gibi Cennet gibi anti-analiz mekanizmaları içeren 2024’ten bu yana, hizmet olarak kötü amaçlı yazılım (MAAS) olarak çalışan modifiye edilmiş bir akroter varyantının çoğalmasını içerir.

ASEC notalarında detaylandırılan bu varyantın aktif modifikasyonları artan uyanıklık gerektirir.

Ek olarak, yeni bir Infostealer varyantı, kendisini “C: \ Program Dosyaları (X86) \ Windows NT \ TableTextService \ Svchost.exe” olarak kopyalayan sahte bir yükleyici arayüzü sunarak standart desenlerden sapar ve HKCU \ Software \ Microsoft \ Windows \ Currenction \ Run aracılığıyla otomatik güçlendirme kaydeder. [TableTextServiceStartup].

Yeniden başlatıldıktan sonra, tarayıcılardaki kontrol edilemeyen pencereleri kaplar ve kullanıcıları opera gibi meşru yazılımları taklit eden kimlik avı sitelerinden söz konusu güncellemeleri indirmeye zorlar, potansiyel olarak koşullu tetikleyiciler altında daha fazla yük sunar.

Başka bir kaçırma yeniliği, dekompresyon parolalarının şifre korumalı arşivlere görüntü dosyalarına yerleştirilmesini ve metin tabanlı şifre çıkarmaya bağlı otomatik güvenlik araçlarını engellemeyi içerir.

Rapor, kuruluşları ATIP’e kılık değiştirmiş hedefler, endüstri etkileri, kimlik avı entegrasyonları ve tespit edilen ürünler hakkında kapsamlı istatistikler için referans vermeye çağırarak, infostaler’ların çatlak uygulama ekosistemlerinde gelişen sofistike olmasını vurgulamaktadır.

Uzlaşma Göstergeleri (IOCS)

Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.