Süpürge sopası veya temizlikçi olarak da bilinen istiridye kötü amaçlı yazılım, macun, tuş ve winscp gibi popüler araçlar olarak gizlenen saldırılarda yeniden ortaya çıkmıştır.
En az 2023’ten beri aktif olan bu kötü amaçlı yazılım, kullanıcıları kötü amaçlı montajcılar indirmeye ve potansiyel olarak Rhysida gibi fidye yazılımı enfeksiyonlarına yol açıyor.
Siber geçirmez tehdit araştırmacıları, yakın zamanda Temmuz 2025’in ikinci yarısında gerçek dünya bir örneği ortaya çıkardılar ve burada şüpheli bir kullanıcının sahte bir macun yürütülebilir dosyası kurması için çekildiler.
Saldırı, güvenlik önlemleri ile hızlı bir şekilde tespit edildi ve engellendi ve davetsiz misafirlerden gelen herhangi bir klavye faaliyetini önledi. Bu olay, saldırganların meşru yazılım indirmelerini taklit eden kötü amaçlı siteleri tanıtmak için arama sıralamalarını manipüle ettikleri sürekli SEO zehirlenmesi tehlikesini vurgulamaktadır.
Kampanya, kullanıcıların macun gibi araçlar arayanla başlar. Zehirli sonuçlar, updaterputty gibi alanlara yol açar[.]com, macun[.]koş ya da macun[.]Bet, hangi sahte montajcılar barındırıyor.
Gözlemlenen durumda, SHA256 karma ile midci-setup.exe adlı kötü amaçlı dosya a8e9f0da26a3d6729e74a6ea566c4fd4e372ceb4b2e7fc01d08844bfc5c3abb Danielaurel’den indirildi[.]TV.
Yürütüldükten sonra, yükleyici kötü amaçlı bir DLL dosyası, zqin.dll bırakır ve Rundll32.exe aracılığıyla çalıştırır. Bu, sistem bilgilerini toplayan, kimlik bilgilerini çalan, komutlar yürüten ve ek kötü amaçlı yazılım indiren istiridye arka kapısını oluşturur.
Kalıcılık, her üç dakikada bir çalıştırılacak olan “Firefox Agent Inc” adlı planlanmış bir görevle elde edilir ve kötü amaçlı yazılımların yeniden başlatıldıktan sonra bile aktif kalmasını sağlar.
Özellikle, yükleyici, ConnectWise Screenconnect’i kötüye kullanan diğer kampanyalarda görülen bir taktik olan iptal edilmiş bir dijital sertifika kullandı.
Virustotal Scans, daha geniş bir işlemi gösteren aynı iptal sertifikası ile imzalanmış birden fazla dosya ortaya çıkardı. Olaydan gelen proxy günlükleri, kullanıcının SEO zekâlı siteleri ziyaret ettiğini ve aldatmayı doğruladığını gösterdi.
İstiridye kampanyaları, Google Chrome ve Microsoft ekiplerini taklit etmekten BT’ye özgü araçları hedeflemeye ve yöneticilerin tanıdık yazılımlara olan güvenini kullanmaya kadar gelişti. Arctic Wolf ilk olarak Haziran 2025’in başlarında benzer kötüverizasyon bildirdi ve onu arka kapıyı teslim eden truva atışçılarına bağladı. Bu yükleyiciler, Rhysida dağıtımlarında görüldüğü gibi genellikle fidye yazılımı kolaylaştırır.
BT yöneticileri için risk akuttur: tek bir zehirli arama tüm ağları tehlikeye atabilir. Siber geçirmez durumda, herhangi birinde sandbox analizi.Run, DLL yürütme ve görev planlaması dahil olmak üzere dosyanın kötü niyetli davranışını doğruladı. Zamanında tespit nedeniyle daha fazla sömürü gerçekleşmedi, ancak veri hırsızlığı veya fidye yazılımı potansiyeli yüksek.
Oyster Backdoor için Uzlaşma Göstergeleri (IOCS)
| Gösterge Türü | Gösterge |
|---|---|
| İhtisas | UpdatePutty[.]com |
| İhtisas | zephyrhype[.]com |
| İhtisas | macun[.]koşmak |
| İhtisas | macun[.]bahis |
| İhtisas | pastel[.]org |
| IP adresi | 194.213.18.89 |
| IP adresi | 85.239.52.99 |
| Dosya karma | 3D22A974677164D6BD716E521E96D07CD00C884B0AEACB555505C6A62A1C26 |
| Dosya karma | a8e9f0da26a3d6729e74a6ea566c4fd4e372ceb4b2e7fc01d08844bfc5c3abb |
| Dosya karma | 2 |
| Dosya adı | Zqin.dll |
Azaltmak için kuruluşlar, kullanıcıları indirmeleri doğrulama, çok faktörlü kimlik doğrulamasını etkinleştirme ve uç nokta algılama araçlarını dağıtma konusunda eğitmelidir. Şüpheli planlanan görevler için düzenli olarak avlanmak ve iptal edilmiş sertifikalar için izleme yardımcı olabilir. SEO zehirlenmesi dalgalandıkça, bu aldatıcı taktiklere karşı uyanık kalmak BT ortamlarını korumak için çok önemlidir.
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi