Tehdit oyuncusu, Arktik Wolf araştırmacılarının ilk olarak Haziran 2025’in başlarında fark ettikleri sofistike bir kötüverizasyon ve SEO zehirleme kampanyasında broomstick veya cleanUploader olarak da bilinen istiridye arka kapısını yaymak için macun ve winscp gibi iyi bilinen BT araçlarının trojanize versiyonlarını kullanıyorlar.
Ayrıca KePass’ın benzer yemlere katıldığına dair ipuçları da var.
Bu işlem arama motoru sonuçlarından yararlanır ve Bing gibi platformlarda sponsorlu reklamlar, başta sıklıkla idari kamu hizmetlerini arayan BT profesyonellerini hedefleyen meşru yazılım indirme portallarını taklit eden kötü amaçlı web sitelerini tanıtmak için.
Enfeksiyon taktikleri
Bu sahte montajcıları indirip yürüttükten sonra, kurbanlar farkında olmadan her üç dakikada bir yürütülen planlanmış bir görev oluşturarak kalıcılık oluşturan Oyster Backdoor’u kullanırlar.
Bu görev Rundll32.exe’yi DLLRegIsterserver Dışa aktarma yoluyla TWAIN_96.DLL veya ZQIN.DLL gibi kötü niyetli bir DLL çalıştırmak için kullanır ve uzaktan erişim, sistem keşif, kimlik hırsızlığı, komut yürütme ve daha fazla kötü amaçlı yazılım dağıtımını sağlar.
Kampanyanın kökleri, istiridye Chrome ve Microsoft ekipleri için tarihsel olarak yükleyiciler olarak görünen en az 2023’e kadar uzanıyor ve genellikle ek yükler için bir yükleyici olarak hareket ederek Rhysida gibi fidye yazılımı enfeksiyonlarının yolunu açıyor.
Siber geçirmez tehdit araştırmacıları, Temmuz 2025’in ikinci yarısında belirli bir istiridye enfeksiyonu tespit ettiler, burada bir kullanıcı url’den kötü niyetli bir macun taklitçisini indirmeye kandırıldı https://danielaurel.tv/wp-json/api/download/53d53f6d17341fb5a4Acd48f2a052.
SHA256 HASH A8E9F0DA26A3D6729E74AB4B2E7FC01D4E74B4B2E7FC01D4E74BFC5C3ABBB5C3ABB, iptal edilmiş bir Sertifikan ile imzalanan bir şekilde görülen, bir takas da dahil olmak üzere, bir takas da dahil olmak üzere SHA256 HASH A8E9F0DA ile adlandırılan dosya, adlandırılan dosya.
Any.Run gibi platformlardaki sanal alan analizi Kill Chain’i ortaya çıkardı: yükleyici, Rundll32.exe üzerinden DLL yükünü düşürür ve yürütür, ardından “Firefox Agent Inc.” adlı planlanmış bir görevle kalıcılık gelir.
Web proxy günlükleri onaylanmış kullanıcı aramaları, SEO zehirli sitelere yol açtı ve uç nokta olayları dosyanın varlığını ve yürütülmesini doğruladı.
Neyse ki, arka kapı tespit edildi ve engellendi, bu da teli-klavye aktivitelerini önledi, ancak mutsuz indirme risklerini vurguladı.
Teknik analiz
Daha derine inen Oyster Backdoor’un işlevselliği, sistem bilgilerinin toplanmasını, kimlik bilgilerini ekspiltrasyonunu ve yanal hareketin kolaylaştırılmasını içerir, bu da onu daha geniş müdahalelerde ilk erişim için çok yönlü bir araç haline getirir.
Gözlemlenen olayda, kötü amaçlı yazılımların iptal edilmiş sertifikaları kullanması, saldırganların tespit edilmeden önce kaçınma için bunları kullandığı son kampanyalarda eğilimlerle uyumludur.
Arctic Wolf’un analizi, sadece macun ve winscp truva atlarının doğrulanırken, tuşas gibi diğer araçlara genişlemelerin mantıklı olduğunu ve uyanık tehdit avına duyulan ihtiyacı vurguladığını belirtiyor.
Uzmanlardan gelen öneriler, SEO zehirlenme risklerini azaltmak için resmi satıcı sitelerine veya dahili depolara doğrudan gezinmeyi zorunlu kılmak için arama motorunun yazılım edinimine güvenmekten kaçınmayı vurgulamaktadır.
Kuruluşlar ayrıca, bilinen kötü niyetli ana bilgisayarların maruziyeti engellemesi için etki alanı engelleme uygulamalıdır.
Savunmaya yardımcı olmak için güvenlik ekipleri, Rundll32.exe ve anormal DLL uygulamalarını içeren planlanmış görev yaratımları gibi göstergelere odaklanan av sorgularını kullanabilir.
Bu kampanya, yüksek değerli kullanıcıları hedeflemek için kötüverizasyonun sosyal mühendislikle karıştığı, potansiyel olarak derhal ele alınmadığı takdirde fidye yazılımı veya veri ihlallerine yol açtığı gelişen tehdit manzarasının altını çiziyor.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge |
|---|---|
| İhtisas | UpdatePutty[.]com |
| İhtisas | zephyrhype[.]com |
| İhtisas | macun[.]koşmak |
| İhtisas | macun[.]bahis |
| İhtisas | pastel[.]org |
| Dosya Hash (SHA256) | 3D22A974677164D6BD716E521E96D07CD00C884B0AEACB555505C6A62A1C26 |
| Dosya Hash (SHA256) | a8e9f0da26a3d6729e74a6ea566c4fd4e372ceb4b2e7fc01d08844bfc5c3abb |
| Dosya Hash (SHA256) | 2 |
| Dosya adı | zqin.dll |
| IP adresi | 194.213.18.89 |
| IP adresi | 85.239.52.99 |
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!