Mocha Manakin olarak bilinen siber güvenlik manzarasında ortaya çıktı ve kullanıcıları sistemlerinde kötü amaçlı senaryolar yürütmeye kandırmak için “macun ve koş” adı verilen giderek daha popüler bir sosyal mühendislik tekniği kullandı.
Bu aldatıcı yöntem, geleneksel güvenlik önlemlerini atlamadaki ve teknik güvenlik açıklarından ziyade insan psikolojisini sömürmedeki etkinliği nedeniyle siber suçlular arasında önemli bir çekiş kazanmıştır.
ClickFix veya Fakecaptcha olarak da adlandırılan macun ve çalışma tekniği, kullanıcılara belgelere, web sitelerine veya yazılım kurulumlarına erişmek için belirli adımları tamamlamaları gerektiğine inanmaya iten meşru doğrulama istemleri sunar.
.png
)
Saldırı genellikle, kullanıcının panosuna gizlenmiş PowerShell komutlarını gizlice kopyalayan sahte “düzelt” veya “doğrulama” düğmelerini içerir ve bunu bu kötü amaçlı komutları yürüterek kurbanlara rehberlik eden talimatlar gelir.
Red Canary analistleri ilk olarak Mocha Manakin etkinliğini Ocak 2025’te tanımladı ve onu diğer macunlardan ve kampanyalardan ayırarak, Nodeinitrat olarak adlandırılan özel bir Nodejs tabanlı arka kapıdan dağıtarak kampanyalar yaptı.
Tehdit oyuncusu taktiklerinde kalıcılık ve evrim gösterdi, araştırmacılar 2025 boyunca saldırı komutlarının birden fazla yinelemesini gözlemlediler.
Mocha Manakin’i benzer tehditlerden ayıran şey, nihai yüklerinin karmaşıklığı ve fidye yazılımı saldırılarına yükselme potansiyelidir.
Kırmızı Canary araştırmacıları, Mocha Manakin aktivitesi ve kilitli fidye yazılımı operasyonları arasında örtüşmeler tespit ettiler, bu da başarılı enfeksiyonların sonuçta daha yıkıcı sonuçlara yol açabileceğini düşündürmektedir.
Fidye yazılımlarına doğrudan ilerleme henüz gözlemlenmemiş olsa da, güvenlik uzmanları ılımlı olmayan Mocha Manakin etkinliğinin muhtemelen fidye yazılımı dağıtımına neden olacağına dair ılımlı bir güvenle değerlendirir.
Nodeinitrat: Gelişmiş özelliklere sahip özel bir arka kapı
Nodeinitrat yükü, Mocha Manakin’in operasyonlarının özellikle ilgili bir yönünü temsil eder ve meşru bir NODEJS çalışma zamanı aracılığıyla gelişmiş kalıcı tehdit yeteneklerini gösterir.
.webp)
Başarılı bir şekilde yürütüldüğünde, başlangıç PowerShell komutu, daha sonra arka kapı içeriğini doğrudan komut satırından geçirerek yürütülen meşru bir taşınabilir düğüm.exe ikili ve kötü amaçlı nodeinitrat kodu içeren bir zip arşivi indirir.
Arka kapı, tipik olarak “Chromeupdater” olarak adlandırılan Windows kayıt defteri çalışma anahtarları aracılığıyla kalıcılık oluşturur ve bu da tehlikeye atılan sistemlere sürekli erişim sağlar.
Nodeinitrat iletişimi HTTP üzerinden Cloudflare tünelleri aracılığıyla meydana gelir, bu da algılama ve engellemeyi ağ güvenlik araçları için daha zorlaştırır.
Kötü amaçlı yazılım, veri aktarımını en aza indirmek ve alan numaralandırması ve ayrıcalık yükseltme girişimleri de dahil olmak üzere keşif faaliyetleri gerçekleştirirken editör denetiminden kaçınmak için XOR kodlama ve GZIP sıkıştırması kullanır.
Are you from SOC/DFIR Teams! - Interact with malware in the sandbox and find related IOCs. - Request 14-day free trial