Lummastealer, son yıllarda en üretken bilgi çalan kötü amaçlı yazılım ailelerinden biri olarak ortaya çıktı ve kurbanları telekomünikasyon, sağlık, bankacılık ve pazarlama gibi birçok endüstri sektöründe hedef aldı.
Sofistike kötü amaçlı yazılım, siber suçluların dünya çapında koordineli kampanyalarda kapsamlı bir şekilde konuşlandırdığı 2025’in başlarında yaygın bir kötü şöhret kazandı.
Mayıs 2025’teki kolluk operasyonları faaliyetlerini geçici olarak bozmuş olsa da, yeni varyantlar tekrar ortaya çıkmaya başladı ve bu tehdidin kalıcı ve gelişen doğasını gösterdi.
Kötü amaçlı yazılımların yeniden canlanması, güvenlik araştırmacılarını daha önce bilinmeyen varyantları tanımlayabilen daha gelişmiş algılama metodolojileri geliştirmeye teşvik etti.
Bilinen göstergelere dayanan geleneksel imza tabanlı algılama sistemlerinden farklı olarak, Lummastealer gibi modern tehditler, kötü amaçlı yazılımların gelişen taktiklerine, tekniklerine ve prosedürlerine uyum sağlayabilecek yenilikçi yaklaşımlar gerektirir.
Stealer’ın dağıtım mekanizmalarını ve gizleme tekniklerini sürekli olarak değiştirme yeteneği, geleneksel güvenlik çözümlerinin etkili bir şekilde tespit etmesini özellikle zorlaştırmıştır.
Netskope araştırmacıları yakın zamanda yeni bir Lummastealer kampanyası belirlediler ve HASH 87118BAADFA7075D7B9D2AFF75D8E730 tarafından tanımlanan örneğin kapsamlı bir teknik analizini gerçekleştirdiler.
Analiz, sofistike kod gizleme tekniklerini, güvenlik savunmalarını atlamak için tasarlanmış gelişmiş kaçış mekanizmaları ve kötü amaçlı yazılımların enfekte sistemlerde dayanağını korumasını sağlayan karmaşık kalıcılık mekanizmalarını ortaya koydu.
.webp)
Bu kapsamlı inceleme, kötü amaçlı yazılımların nasıl çalıştığı ve bu tür gelişen tehditlerle mücadele etmek için gereken metodolojiler hakkında kritik bilgiler sağlar.
Gelişmiş ML ile çalışan algılama çerçevesi
Lummastealer varyantlarının tespiti, geleneksel statik analizi en yeni makine öğrenme teknikleriyle birleştiren sofistike çok katmanlı bir yaklaşım gerektirir.
Netskope’un gelişmiş tehdit koruma platformu, yeni ve hedeflenen kötü amaçlı yazılım örneklerini tanımlamak için özel olarak tasarlanmış amaca uygun ML modelleri ile geliştirilmiş bir bulut sanal alan ortamı kullanır.
Sistem, API çağrıları ve DLL etkileşimleri, kayıt defteri değişiklikleri, dosya işlemleri ve ağ etkinlik modelleri içeren işlem ağaçları dahil olmak üzere kapsamlı çalışma zamanı davranış verilerini yakalarken, izole Windows ortamlarında şüpheli dosyalar yürütür.
Temel inovasyon, kötü niyetli işlem ağaçları ve bunların ilişkili davranışsal özellikleri içindeki karmaşık kalıpları analiz eden bir ağaç transformatör mimarisinin uygulanmasında yatmaktadır.
Bu yaklaşım, her bir düğümü kodlamak için ağaç konumsal yerleştirmeleri ve yürütme hiyerarşisi içindeki konumunu kodlayarak kötü amaçlı yazılımların operasyonel akışını kapsamlı bir anlayış yaratır.
Kayıt defteri modifikasyonları, dosya işlemleri ve ağ iletişimi gibi çalışma zamanı davranışsal özellikleri özellik vektörlerine kodlanır ve son kötü amaçlı yazılım sınıflandırmaları oluşturmak için Process Tree gömme ile birleştirilir.
Transformer tabanlı mimari, algılama sisteminin yalnızca belirli imzalara veya göstergelere güvenmek yerine genelleştirilmiş davranış kalıplarını yakalamasını sağlar. Bu metodoloji, daha önce görülmemiş tehditleri tespit etme yeteneğini önemli ölçüde artırırken, eğitim verilerine aşırı uymayı önler.
Lummastealer örneğini analiz ederken, ML modeli, sofistike kaçış tekniklerine karşı bu yaklaşımın etkinliğini göstererek, şüpheli çalışma zamanı aktiviteleri ile birleştirilmiş proses ağacı eklemeleri yoluyla kötü niyetli davranışları başarıyla tanımladı.
Analiz edilen numune, ekstraksiyon üzerine gizlenmiş bir NSIS komut dosyası ve .m4a uzantıları ile gizlenmiş çeşitli yük dosyaları da dahil olmak üzere birden fazla bileşen ortaya çıkaran bir nullsoft Scriptable yükleme sistemi (NSIS) yükleyici dosyası olarak kategorize edildi.
Kötü amaçlı yazılım, kötü niyetli amaçlar için meşru otoit komut dosyası dilinden yararlandı ve tehdit aktörlerinin hedeflerini yerine getirirken algılamadan kaçınmak için güvenilir sistem kamu hizmetlerini yeniden kullandığı ortak bir taktiği vurguladı.
[NSIS].nsi: Obfuscated NSIS script, will invoke Parish.m4a to initiate the chain
Parish.m4a: obfuscated batch file
Other *.m4a: Blobs for next stage payloadBu varyant tarafından kullanılan sofistike kaçınma teknikleri başlangıçta 73 antivirüs motorunun sadece 9’unun virustotal üzerindeki çok düşük bir tespit oranı ile sonuçlandı ve anti-analiz mekanizmalarının etkinliğini ve bu tür tehditleri tanımlamak için ileri ML bazlı tespit yaklaşımlarına yönelik kritik ihtiyaç gösterdi.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
