Modiloader (DBatloader olarak da bilinir) adı verilen sofistike bir kötü amaçlı yazılım suşu, Windows kullanıcıları için önemli bir tehdit olarak ortaya çıktı ve özellikle özenle hazırlanmış kimlik avı kampanyaları aracılığıyla bireyleri hedef aldı.
Son saldırılarda keşfedilen kötü amaçlı yazılım, .NET’te geliştirilen kötü şöhretli bir bilgi çalan kötü amaçlı yazılım olan Snakekeylogger’ı dağıtan çok aşamalı bir enfeksiyon süreci kullanır.
İlk enfeksiyon, şüphesiz kullanıcıların bankacılık kurumlarından meşru finansal işlem kayıtlarını görüntülediklerine inanarak kötü niyetli e -posta eklerini açtıklarında meydana gelir.
.png
)
Saldırı, Türkçe yazılmış, meşru Türk bankalarını taklit eden ve alıcıları sözde işlem geçmişlerini kontrol etmek için RAR ekleri açmalarını isteyen kimlik avı e -postaları ile başlar.
.webp)
Açıldığında, bu ekler DBatloader kötü amaçlı yazılımını oluşturan ve dağıtan BAT dosyalarını yürütür (x[.]exe) Base64 kodlama tekniklerini kullanarak sistemin geçici dizinde.
Bu ayrıntılı kodlama mekanizması, kötü amaçlı yazılımın, gerçek doğasını yürütme süresine kadar gizleyerek standart güvenlik algılama sistemlerini atlamasına yardımcı olur.
ASEC analistleri, Mayıs 2025 ortasında bu kötü amaçlı yazılım kampanyasını belirledi ve DBatloader kötü amaçlı yazılımının sofistike bir dizi gizlenmiş yarasa senaryosu kullandığını belirtti (5696[.]CMD, 8641[.]CMD ve Neo[.]CMD) kalıcılık oluşturmak ve tespitten kaçınmak.
Araştırmacılar, bu komut dosyalarının sistem ortamını manipüle etmek için çeşitli işlevler gerçekleştirdiğini ve birlikte çalışan meşru ve kötü niyetli süreçlerin karmaşık bir ağı oluşturduğunu gözlemlediler.
Başarılı bir şekilde konuşlandırıldıktan sonra, Modiloader enfekte olmuş sistemlerden hassas bilgileri toplamaya başlayan son yük snakeylogger’ı yürütür.
Bu bilgiler sistem ayrıntıları, klavye girişleri, pano verileri ve potansiyel olarak depolanan kimlik bilgilerini içerir.
Kötü amaçlı yazılım, özellikle kapsamlı veri açığa çıkma yöntemleri, e -posta, FTP, SMTP ve telgraf kanalları aracılığıyla veri iletimini desteklemekten kaynaklanmaktadır.
Analiz edilen örnek, özel olarak bir telgraf bot jetonu (8135369946: aaegf2hoerfziolbsxn5avebr_xgb-x1qmk) çalınan verileri bir komut ve kontrol sunucusuna iletmek için kullandı, tespit ve müdahaleyi özellikle zorlaştırdı.
Etkilenen kullanıcılar için, etkisi şiddetli olabilir, kişisel ve finansal kimlik bilgileri potansiyel olarak tehlikeye girer.
Kötü amaçlı yazılımların klavye girişlerini izleme yeteneği, enfeksiyondan sonra (yeni oluşturulan şifreler dahil) girilen verilerin bile saldırganlara yakalanabileceği ve eklenebileceği ve ilk tespitten sonra bile kalıcı güvenlik açıkları oluşturabileceği anlamına gelir.
Tespit Kaçma Teknikleri
Modiloader, kötü niyetli faaliyetlerini maskelemek için meşru pencereler süreçlerinden yararlanarak son derece gelişmiş algılama kaçakçılığı tekniklerini kullanır.
.webp)
Kötü amaçlı yazılım, CMD’yi kopyalamak için Windows Esentutl komutunu kullanır[.]Alpha.pif olarak exe, daha sonra bunları meşru sistem yolları olarak gizlemek için adlarında (“C: \ windows \ syswow64”) alanları olan klasörler oluşturur.
%20with%20the%20file%20name%20disguised%20as%20svchost.pif%20(Source%20-%20ASEC).webp)
Bu teknik, kötü amaçlı yazılımın, olağandışı aralıklarla yolları düzgün bir şekilde ayrıştıramayabilecek güvenlik yazılımı tarafından algılamadan kaçınmasına yardımcı olur.
Kötü amaçlı yazılım, DLL yan yükleme yoluyla varlığını daha da gizleyerek, meşru Easinvoker olarak maskelenen svchost.pif adlı bir program oluşturur[.]exe işlemi.
Bunun yanı sıra, aynı dizinde kötü amaçlı bir netutils.dll dağıtır ve meşru sürecin tehlikeye atılan DLL’yi yüklediğinde kötü niyetli davranışlar sergilemesine neden olur.
.webp)
Manipüle netutils.dll, ek komut dosyaları çalıştıran kodlanmış komutları yürütür ve güvenlik çözümlerinin izlemesi zor olan bir yürütme zinciri oluşturur.
Belki de en önemlisi, kötü amaçlı yazılımların güvenlik korumalarını aktif olarak devre dışı bırakma yeteneğidir. Neo aracılığıyla[.]CMD Script Modiloader çıkarılan PowerShell’i kullanır[.]Windows Defender’ın hariç tutma yollarına sistem alt dizinleri eklemek için exe (xkn.pif olarak yeniden adlandırıldı), antivirüs taramasını etkili bir şekilde atlayın.
Meşru pencere araçları ve süreçlerinin bu sofistike kombinasyonu, modiloader’ı geleneksel güvenlik önlemleri ile tespit etmek için özellikle zorlayıcı hale getirerek bu tür tehditleri tanımlamak için gelişmiş davranış temelli algılama sistemlerine duyulan ihtiyacı vurgulamaktadır.
How SOC Teams Save Time and Effort with ANY.RUN - Live webinar for SOC teams and managers