Çince konuşan kullanıcılar, kötü amaçlı yazılım dağıtmak için sahte yazılım siteleri kullanan bir arama motoru optimizasyonu (SEO) zehirleme kampanyasının hedefidir.
Fortinet Fortiguard Labs araştırmacısı PEI Han Liao, “Saldırganlar arama sıralamalarını SEO eklentileri ve meşru yazılım sitelerini yakından taklit eden kayıtlı benzeri alanlarla manipüle etti.” Dedi. “İkna edici bir dil ve küçük karakter ikameleri kullanarak kurbanları ziyaret eden sayfaları ziyaret etmeye ve kötü amaçlı yazılım indirmeye kandırdılar.”
Siber güvenlik şirketi tarafından Ağustos 2025’te keşfedilen etkinlik, her ikisi de GH0ST Rat adı verilen uzaktan erişim Truva atının varyantları olan Hiddengh0st ve Winos (aka Vallerat) gibi kötü amaçlı yazılım ailelerinin konuşlandırılmasına yol açıyor.
Winos kullanımının, Valley (veya Valley Hırsızı), UTG-Q-1000 ve Void Arachne’nin büyük hırsızı olarak da izlenen Silver Fox olarak bilinen bir siber suç grubuna atfedildiğini belirtmek gerekir. En azından 2022’den beri aktif olduğuna inanılıyor.
Fortinet tarafından belgelenen en son saldırı zincirinde, Google’daki Deepl Translate, Google Chrome, Signal, Telegram, WhatsApp ve WPS ofisi gibi araçları arayan kullanıcılar, truva atıfları kullanarak kötü amaçlı yazılımın teslimatını tetiklemek için sahte sitelere yönlendirilir.
Fortinet, “Nice.js adlı bir senaryo, bu sitelerdeki kötü amaçlı yazılım dağıtım sürecini kontrol ediyor.” “Komut dosyası çok adımlı bir zincir izler: ilk olarak ikincil bir bağlantı içeren JSON verilerini döndüren bir indirme bağlantısı çağırır. Bu ikincil bağlantı daha sonra kötü niyetli yükleyicinin son URL’sine yönlendiren bir bağlantı içeren başka bir JSON yanıtına işaret eder.”
Yükleyicinin içinde, bellek kullanımını şişirerek ve performanslarını yavaşlatarak analiz araçlarını ezmek için başka bir DLL (“vstdlib.dll”) de dahil olmak üzere birkaç anti-analiz kontrolü gerçekleştiren kötü niyetli bir DLL (“enumw.dll”) bulunur.
İkinci DLL ayrıca ana yükü açmak ve başlatmak için tasarlanmıştır, ancak tehlikeye atılan ana bilgisayarda 360 toplam güvenlik antivirüs yazılımının varlığını tespit etmeden önce değil. Mevcut varsa, kötü amaçlı yazılım, kalıcılık oluşturmak ve sonuçta bir Windows yürütülebilir dosyasını başlatmak için Typelib Com Hacking adlı bir teknik kullanır (“inalivation.exe”)
Antivirüs yazılımının ana bilgisayar üzerine yüklenmemesi durumunda, aynı yürütülebilir dosyaya işaret eden bir Windows kısayolu oluşturularak kalıcılık elde edilir. Enfeksiyonun nihai amacı, üç temel işlevi başlatan bir DLL (“Aide.dll”) yan yüklemektir –
- Bir uzak sunucu ile iletişim kurmak ve şifreli bir biçimde veri alışverişi yapmak için komut ve kontrol (C2)
- Kalp atışı, sistem ve mağdur verileri toplamak ve sabit kodlu bir güvenlik ürünleri listesine karşı çalışma süreçlerini numaralandırmak için
- Kalıcılığı onaylamak, kullanıcı etkinliğini izlemek ve C2 sunucusuna işaret etmek için kurbanın ortamını değerlendirmek için izlemek
C2 modülü ayrıca ek eklentiler, günlük tuş vuruşları ve pano verileri ve hatta Ethereum ve Tether ile ilişkili kripto para cüzdanlarını kaçırma komutlarını da destekler. Belirlenen eklentilerin bazıları, kurbanın ekranında sekmeler tutabilir ve daha önce Winos Framework’ün bir parçası olarak tanımlanmıştır.
Fortinet, “Kurulumcular hem meşru uygulamayı hem de kötü amaçlı yükü içeriyordu, bu da kullanıcıların enfeksiyonu fark etmesini zorlaştırdı.” Dedi. “Yüksek sıralı arama sonuçları bile bu şekilde silahlandırıldı ve yazılım indirmeden önce alan adlarını dikkatlice incelemenin önemini vurguladı.”
Yeni Kkrat dahil kötü amaçlı yazılım trifecta tarafından hedeflenen Çinli konuşmacılar
Geliştirme, Zscaler Tehditlabz’ın, Mayıs 2025’in başından beri Winos ve Fatalrat ile birlikte daha önce belgelenmemiş bir kötü amaçlı yazılımla Çince konuşan kullanıcıları hedefleyen ayrı bir kampanyayı işaretlediği için geliyor.
KKRAT “hem GH0ST RAT hem de tipik olarak Çin merkezli siber suçlulardan yararlanan bir sıçan olan Big Bad Wolf (大灰狼) ile kod benzerliklerini paylaşıyor.” Dedi.
“Kkrat, veri sıkıştırmasından sonra ek bir şifreleme katmanı ile hayalet sıçanına benzer bir ağ iletişimi protokolü kullanır. Sıçanın özellikleri, kripto para birimi adreslerinin yerine pano manipülasyonu ve uzaktan izleme araçlarının (yani Sunlogin, Gotohttp) dağıtımını içerir.”
Yukarıda belirtilen etkinlik gibi, saldırı kampanyası da üç Truva atı sunmak için DingTalk gibi popüler yazılımı taklit eden sahte yükleyici sayfaları kullanıyor. Kimlik avı siteleri GitHub sayfalarında barındırılır ve kötü aktörlerin kötü amaçlı yazılım dağıtımı için meşru bir platformla ilişkili güveni kötüye kullanmasına izin verir. Sayfaları dağıtmak için kullanılan GitHub hesabı artık mevcut değil.
Kurban tarafından başlatıldıktan sonra, sitelerde barındırılan yükleyici, sanal alan ortamlarını ve sanal makineleri (VM’ler) ve bypass güvenlik yazılımını tanımlamak için bir dizi kontrol çalıştırır. Ayrıca, verilirse, antivirüs programlarının düzenli işleyişine etkili bir şekilde müdahale eden tüm aktif ağ adaptörlerini numaralandırmasını ve geçici olarak devre dışı bırakmasını sağlayan yönetici ayrıcalıkları talep eder.
Kötü amaçlı yazılımın bir diğer önemli yönü, RealBindingedR açık kaynaklı projeden kodu yeniden kullanarak ana bilgisayar üzerine yüklenen antivirüs yazılımını silahsızlandırmak için kendi savunmasız sürücü (BYOVD) tekniğinizi getirmesidir. Kötü amaçlı yazılım özellikle aşağıdaki beş programı arar –
- 360 İnternet Güvenlik Süiti
- 360 Toplam Güvenlik
- Herobravo System Diagnostics Suite
- Kingsoft İnternet Güvenliği
- QQ Bilgisayar Yöneticisi
İlgili antivirüs ile ilgili işlemler sona erdirildikten sonra, kötü amaçlı yazılım, bir kullanıcı makineye giriş yaptıktan sonra otomatik olarak öldürüldüğünden emin olmak için bir toplu betiği yürütmek için sistem ayrıcalıklarıyla çalışan planlanmış bir görev oluşturmak için adımlar atar.
Ayrıca, ağ kontrollerini devre dışı bırakma hedefi ile toplam 360 toplam güvenlik için Windows kayıt defteri girişlerini değiştirir. Tüm bu eylemler gerçekleştirildikten sonra, kötü amaçlı yazılım, sistemin ağ bağlantısını geri yüklemek için ağ adaptörlerini yeniden etkinleştirmeye devam eder.
Yükleyicinin birincil sorumluluğu, sert kodlanmış bir URL’den “2025.bin” adlı başka bir gizlenmiş kabuk kodu dosyasını başlatan Shellcode’u piyasaya sürmektir. Bu yeni alınan kabuk kodu, daha sonra iki fermuarlı arşiv almak için iki farklı URL’ye ulaşan bir eser (“output.log”) için bir indirici görevi görür –
- TRX38.ZIP, meşru bir yürütülebilir dosya ve DLL yan yükleme kullanılarak başlatılan kötü amaçlı bir DLL içeren
- P.ZIP, Longlq.cl adlı bir dosya içeren, şifreli son yükü tutan
Zscaler, “Daha sonra kötü amaçlı yazılım, trx38.zip’den çıkarılan meşru yürütülebilir dosyalar için bir kısayol oluşturacak, bu kısayolu kalıcılık için başlangıç klasörüne ekleyecek ve kötü niyetli DLL’yi açacak meşru yürütülebilir dosyayı yürütecek.” Dedi. “Kötü niyetli DLL, Longlq.Cl dosyasından son yükü şifresini çözer ve yürütür. Kampanyanın son yükü indirilen ikinci fermuarlı arşivine göre değişir.”
 |
| Birkaç sıçan sunan bir kötü amaçlı yazılım kampanyası için saldırı zinciri |
Üç yükten biri Kkrat. C2 sunucusu ile bir soket bağlantısı kurduktan sonra, kötü amaçlı yazılım kurban makinesini profilleştirir ve çok çeşitli veri toplama görevlerini gerçekleştirmek için çeşitli eklentiler elde eder –
- Klavye ve fare eylemleri gibi kullanıcı girişlerini ekran yakalama ve simüle etme
- Pano Verilerinin Alınması ve Değiştirilmesi
- Web tarayıcılarını başlatma ve etkin işlemleri sonlandırma gibi uzak masaüstü özelliklerini etkinleştirme
- Kabuk arayüzü aracılığıyla uzaktan komut yürütmeyi kolaylaştırmak
- Ekranda Windows yönetimini etkinleştirme
- Aktif süreçleri listelemek ve gerektiğinde sonlandırmak gibi süreç yönetimi özelliklerini kanıtlamak
- Etkin ağ bağlantılarının bir listesini oluşturma
- Yüklü yazılımı listelemek ve belirli olanları kaldırma gibi uygulama yönetimi özellikleri sağlamak
- Autorun Kayıt Defteri Anahtarında depolanan değerlerin listesini numaralandırmak ve almak
- SOCKS5 protokolünü kullanarak bir istemci ve sunucu arasında verileri yönlendirmek için bir proxy olarak hareket etmek
Bu eklentilere ek olarak KKRAT, eklentileri çağırmak için uzun bir komut listesi için destek sunar; Panoya kopyalanan kripto para cüzdanı adreslerini değiştirerek bir kesme makinesi olarak işlev görür; kalıcılık kurmak; Gotohttp ve Sunlogin’i dağıtın; ve 360 hızlı tarayıcı, Google Chrome, Internet Explorer, Mozilla Firefox, QQ tarayıcı, Sogo Explorer, Skye, Telegram ile ilişkili net veriler.
Zscaler, “KKRAT’ın komutları ve eklentileri, kripto para birimi cüzdan adreslerini değiştirmek, sunlogin ve gothttp gibi RMM araçlarının yüklenmesi ve güvenlik duvarlarını ve VPN’leri atlamak için kullanılabilecek ağ trafiğini aktarmak için pano kaçırma gibi özellikleri etkinleştirir.” Dedi.