Backdoed oyun yazılımını içeren ayrıntılı bir sosyal mühendislik şeması aracılığıyla Windows sistemlerini hedefleyen yeni bir yeni kötü amaçlı yazılım kampanyası ortaya çıktı.
İlk olarak 2024’ün sonlarında tanımlanan ve 2025 yılına kadar gelişen Blitz kötü amaçlı yazılım, kripto para madenciliği operasyonlarını dağıtmak için oyun topluluklarından yararlanan siber suçluların bir eğilimini temsil ediyor.
Başlangıçta sunucular yerine genel Windows sistemlerini hedeflemek için tasarlanmış olsa da, kötü amaçlı yazılımların gelişmiş yetenekleri ve kalıcılık mekanizmaları, herhangi bir tehlikeye atılan ortam için önemli bir tehdit haline getirir.
.png
)
Kötü amaçlı yazılım kampanyası, “Sw1zzx” takma adını kullanarak Rusça konuşan bir tehdit oyuncusu tarafından oluşturulan bir telgraf kanalı etrafında merkezlenmiş dikkatle düzenlenmiş bir dağıtım ağı aracılığıyla faaliyet göstermektedir.
.webp)
Bu kişi @SW1ZZX_DEV kanalını 27 Şubat 2025’te kurdu ve özellikle 100 milyondan fazla indirme ile popüler bir mobil çok oyunculu oyun olan Standoff 2 için oyun hileleri kullanıcılarını hedefledi.
Dağıtım stratejisi, hem işlevsel hile yazılımı hem de kötü amaçlı backdoors içeren “elysium_crackby@sw1zzx_dev.zip” ve “nerest_crackby@sw1zzx_dev.zip” adlı zip arşivi olarak paketlenmiş meşru çatlak oyun hileleri gibi görünen şeyi sunmayı içerir.
.webp)
Palo Alto Networks araştırmacıları, kötü amaçlı yazılımların komuta ve kontrol altyapısı için, özellikle kucaklama yüz alanları, AI uygulamalarında uzmanlaşmış bir kod deposu olan bir kod deposu için kötü amaçlı yazılımların sofistike kötüye kullanımını belirledi.
.webp)
Bu yaklaşım, kötü amaçlı yazılımların kötü amaçlı trafiği meşru platform kullanımı ile harmanlamasını sağlar ve algılamayı güvenlik araçları için önemli ölçüde daha zorlaştırır.
Araştırmacılar, Nisan 2025’in sonlarına kadar Blitz’in 26 ülkede 289 sistemi başarıyla enfekte ettiğini, Rusya’nın 166 enfeksiyonda en fazla kurbanı hesaba kattığını ve ardından Ukrayna, Belarus ve Kazakistan izlediğini belirtti.
Kötü amaçlı yazılımın nihai yükü, bir Monero kripto para madenci olan XMRIG’nin dağıtımının yanı sıra anahtarlama, ekran görüntüsü yakalama ve dosya eksfiltrasyonu gibi kapsamlı veri hırsızlığı özelliklerini içerir.
Kötü amaçlı yazılım, enfekte olmuş sistemlere kalıcı erişim sağladığı ve potansiyel olarak tehlikeye atılan ağlarda daha fazla sömürü veya yanal hareket sağlayarak keyfi komutlar uygulayabildiğinden, kampanyanın etkisi basit kriptajın ötesine uzanır.
Sofistike enfeksiyon zinciri ve kaçırma mekanizmaları
Blitz enfeksiyon süreci, çok aşamalı dağıtım ve kapsamlı anti-analiz önlemleri ile dikkate değer teknik gelişmişlik göstermektedir.
.webp)
Mağdurlar backdoured oyun hilelerini yürüttüğünde, kötü amaçlı yazılım derhal sanal alan algılama ve otomatik analiz sistemlerinden kaçınmak için tasarlanmış birkaç ortam kontrolü uygular.
SandBox karşıtı prosedürler, 1.000.000 döngü yinelemesi için yürütme süresinin ölçülmesini içerirken, aynı anda kayan nokta öğretim yürütmelerini izlerken, sanal ortamlar için zamanlama tabanlı bir algılama mekanizması oluşturulur.
Kötü amaçlı yazılım, kurbanın Internet Explorer dizinindeki “ieAlfltrt.dll” dosyasını kontrol eden ve SHA256 karmasını harici macun sitelerinden alınan değerlerle karşılaştıran komut yapısında gösterildiği gibi, ilk yük dağıtımında bir PowerShell tek liner kullanır.
Bu doğrulama işlemi, yürütülmeden önce karma doğrulama yoluyla operasyonel güvenliği korurken yük bütünlüğünü sağlar.
Kalıcılık için Blitz, “HKCU \ Environment” adlı bir oturum açma komut dosyası ve “UserInitMPRLogonscript” adlı bir oturum açma komut dosyası ve “HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run” adlı “EdgeUpdater” adlı yedek giriş girişi oluşturur.
Kötü amaçlı yazılım, kurulumdan sonra hemen başlatılmadan yürütme stratejisinde sabır gösterir, bunun yerine bir sonraki kullanıcı oturumunun etkinleştirilmesini bekler ve güvenlik izleme araçları tarafından anında tespit olasılığını azaltır.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği