Olymp Loader, Haziran 2025’te halka sunulmasından bu yana gelişmiş bir Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) platformu olarak ortaya çıktı ve yeraltı siber suç forumlarında ve Telegram kanallarında hızla kayda değer bir tehdit haline geldi.
“OLYMPO” takma adı altında pazarlanan bu kötü amaçlı yazılım, gelişmiş kaçırma yeteneklerinin, çok amaçlı işlevselliklerin ve suçlu operatörlerin giriş engellerini önemli ölçüde azaltan saldırgan dağıtım taktiklerinin endişe verici bir birleşimini temsil ediyor.
Olymp Loader’ın arkasındaki tehdit aktörü, kötü amaçlı yazılımı agresif bir şekilde “Tamamen Tespit Edilemez” (FUD) olarak pazarlıyor ve VirusTotal’da 1/72 tespit oranının, kaçırmanın çok önemli olduğu yeraltı topluluklarında önemli bir satış noktası olduğunu iddia ediyor.
Geliştirici, kod tabanının tamamının montaj dilinde yazıldığını vurguluyor; bu, montajın güvenlik ürünleri için tespit edilmesinin ve analistlerin tersine mühendislik yapmasının doğası gereği zor olduğunu kabul eden teknik açıdan gelişmiş suçluları cezbetmek için tasarlanmış bir pazarlama iddiası.
Bu konumlandırma, iddia edilen 10 yılı aşkın montaj programlama uzmanlığıyla birleştiğinde, siber suçlulardan şimdiden çok sayıda olumlu yorum aldı.
Olymp Loader, aynı anda yük yükleyici, şifreleyici ve veri çalıcı olarak görev yapabilen çok amaçlı bir tehdit olarak işlev görür.
Yerleşik çalma modülleri, para kazanma fırsatları arayan siber suçluların ilgisini çeken tarayıcıları, Telegram uygulamalarını ve kripto para birimi cüzdanlarını hedef alıyor.
Erişilebilir bir MaaS platformu olarak paketlenen bu kapsamlı özellik seti, bu tür araçları bağımsız olarak geliştirecek teknik uzmanlığa sahip olmayan düşük ve orta seviye tehdit aktörleri için gelişmiş saldırı yeteneklerini demokratikleştirir.
Çok Aşamalı Dağıtım ve Hızlı Gelişim
Tehdit aktörü; HackForums, XSS, Lolz Guru ve özel kart forumu toplulukları da dahil olmak üzere çok sayıda yer altı forumunda agresif çoklu platform pazarlamasını kullandı.
Üst düzey XSS forumunda, doğrudan satış konuları yerine yükleyicinin iç işleyişini detaylandıran teknik makalelerin yayınlandığı olağanüstü derecede karmaşık bir “içerik pazarlama” stratejisi uygulandı; bu strateji, geliştiricinin güvenilirliğini artırmak ve teknik açıdan yetenekli çalışanları çekmek için tasarlandı.
Olymp Loader, Haziran 2025’teki ilk çıkışından bu yana önemli bir mimari evrim geçirdi.
3 Ağustos’ta yapılan yeniden yapılandırma, botnet işlevselliğinden özel bir damlalık modeline önemli bir geçişe işaret ederek web paneli bağımlılıklarını ortadan kaldırdı ve şifrelenmiş yükleri doğrudan çalıştırılabilir saplamaya entegre etti.
Bu evrim, operasyonel zorluklardan ve pazar geri bildirimlerinden öğrenilen dersleri yansıtmakta ve kullanıcı taleplerine yanıt olarak aktif gelişim ve adaptasyonu göstermektedir.
İlk Olymp Loader örnekleri, cmd.exe zaman aşımı komutları, AppData dizininin yeniden konumlandırılması ve PowerShell tabanlı başlangıç klasörü manipülasyonu yoluyla kalıcılık sağladı.
Ağustos 2025 varyantları, gerçek zamanlı izlemeyi, ağ dosyası taramayı ve G/Ç sanallaştırma korumasını kapatmak için ardışık PowerShell komutlarını yürüten çok aşamalı Windows Defender devre dışı bırakma mekanizmalarını birleştirerek kaçırma taktiklerini önemli ölçüde artırdı.
Sonraki yinelemeler, Defender Remover araç seti bileşenlerini, kayıt defteri silme komutlarını ve AppData, LocalAppData, Masaüstü ve Belgeler klasörlerini kapsayan kapsamlı dizin hariç tutma listelerini içeriyordu.
Yük Teslimatı Tercihleri
Enfeksiyon sonrası analiz, Olymp müşterilerinin ağırlıklı olarak kimlik bilgileri çalan yazılımları ve uzaktan erişim araçlarını kullandığını, LummaC2’nin gözlemlenen yüklerin %46’sını temsil ettiğini, ardından WebRAT/SalatStealer (%31), QasarRAT (%15) ve Raccoon’un (%8) geldiğini ortaya koyuyor.
Yükleyicinin çalma modülleri, ikili dosyalara sabit kodlanmış ve PROXY işaretleyicileri aracılığıyla erişilen yerleşik proxy URL’leri ile karmaşık veri sızma teknikleri kullanır.
Telegram veri hırsızlığı, kayıt defteri sorgularını, işlemin sonlandırılmasını ve sızmadan önce ekran görüntüsünün alınmasını içerir.
Tarayıcı hırsızlığı, temel uygulamalarla karşılaştırıldığında iki kat daha fazla hedef listesiyle, TarayıcıSnatch gibi halka açık depolardaki değiştirilmiş açık kaynak kodunu kullanır.
Olymp Loader, yanıltıcı GitHub varlık barındırma ve meşru yazılım dağıtımlarını (PuTTY, OpenSSL, Zoom, Counter-Strike) taklit eden URL tabanlı cazibeler yoluyla sosyal mühendislikten yararlanır.
Bu yaklaşım, yaygın olarak kullanılan araçları arayan geliştiricilerden ve kullanıcılardan yararlanarak hedef demografik gruplar arasında enfeksiyon olasılığını önemli ölçüde artırıyor.
Olymp Loader’ın hızlı olgunlaşması, kanıtlanmış teknik gelişmişliği ve agresif MaaS pazarlamasıyla birleştiğinde, onu kuruluşlar için önemli bir tehdit haline getiriyor.
Daha düşük vasıflı siber suçlulara erişilebilirliği ve sürekli operasyonel gelişimi, proaktif tehdit izleme ve uç nokta güvenliği doğrulaması gerektiren sürekli risk sunar.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.