Fordiguard Labs, Microsoft Windows kullanıcılarını Norddragiscan Infostealer ile hedefleyen mevcut bir kampanya keşfetti, bu da siber güvenlik için endişe verici bir eğilim.
Bu yüksek şiddetli tehdit, sistemlere sızmak, hassas verileri hasat etmek ve gelecekteki saldırılarda potansiyel kullanım için bir komut ve kontrol (C2) sunucusuna eklemek için karmaşık bir enfeksiyon zincirinden yararlanır.
2025 Global Tehdit Peyzaj Raporunda ayrıntılı olarak açıklandığı gibi, bu kötü amaçlı yazılım, Windows kullanıcılarından ve kuruluşlardan derhal ilgi gerektiren gelişmiş saldırgan taktiklerini sergiliyor.
Yeni Infostealer Windows Systems Windows Sistemleri
Saldırı, “hxxps: // cutt gibi kısaltılmış URL’leri kullanarak aldatıcı bir başlangıç vektörü ile başlar.[.]“Hxxps: // Secfileshare’e yönlendiren ly/4rnmskde”[.]com. ”
Bu, zararlı bir LNK kısayolu içeren Ukrayna temalı bir dosya adıyla kötü niyetli bir RAR arşivinin indirilmesini sağlar.
Yürütme üzerine, bu kısayol mshta.exe’yi aynı sunucudan “1.hta” adlı silahlandırılmış bir HTA komut dosyasını çalıştırmaya çağırır.
HTA komut dosyası, powerShell.exe’yi gizlenmiş bir yola kopyalayarak meşru bir süreç olarak maskelenir ve kullanıcıları Ukrayna’da iyi huylu bir tuzak belgesiyle rahatsız ederken, “Adblocker.exe” nin sessizce kurbanın geçici dizinine dağıtılır.
Bu sistematik yaklaşım, aynı yürütülebilir dosyaya sahip çeşitli tuzak dosyalarını kullanmak, saldırganların farklı hedeflerdeki enfeksiyon oranlarını algılama ve en üst düzeye çıkarma çabalarını vurgulamaktadır.
Kurulduktan sonra, “C: \ Users \ Norddragon \ Documents \ Visual Studio” nu işaret eden gömülü bir PDB yoluna sahip bir .NET yürütülebilir olan Norddragiscan, cildli dizelerini statik analizden gizlemek için XOR işlemleri ve bayt değiştirme ile özel bir String gizleme kullanır.
Sofistike taktikler
Çalıntı bilgileri aşamalı olarak yerel uygulama veri klasöründe “Norddragiscan” adlı bir çalışma dizini oluşturur.
Kötü amaçlı yazılım, C2 sunucusu “KPuszkiev.com” ile özel HTTP başlıklarını ve kurbanın MAC adresini kullanarak bağlantıyı onaylamak ve veri açığa çıkması için dinamik URL’leri almak için iletişim kurar.
Kalıcılık, Windows ‘CurrentVersion \ Run tuşunun altındaki “Nordstar” adlı bir kayıt defteri girişi ile sağlanır ve kötü amaçlı yazılımların yeniden başlatılmalarından kurtulmasına izin verir.
Norddragcan’ın keşif yetenekleri kapsamlıdır. Bilgisayar adı, işletim sistemi sürümü ve donanım özellikleri gibi ayrıntıları yakalayarak WMI ve .NET çağrıları aracılığıyla ayrıntılı sistem bilgilerini toplar.
Aynı alt ağ içindeki IP adreslerini inceleyerek yerel ağları haritalamak için ağ adaptörlerini de tarar.
Sistem verilerinin ötesinde, masaüstü, belgeler ve indirme klasörlerinden .docx, .pdf ve .txt gibi belirli uzantılara sahip dosyaları, giriş kimlik bilgileri içeren tüm Chrome ve Firefox profillerinin yanı sıra çalar.
Ekran görüntüleri alınır ve “Spicture.png” olarak kaydedilir, bu da bir araya getirilmiş ve C2 sunucusuna yüklenen hassas verilerin trof’una eklenir.
Fortinet’in Fortiguard antivirüs ve içerik silahsızlandırılması ve yeniden yapılandırma hizmetleri de dahil olmak üzere korumaları, bu tehdidi Fortigate, Fortimail, Forticlient ve Fortiedr çözümlerinde aktif olarak engeller.
Norddragcan’ın dağıtım ağı oldukça etkili olmaya devam ettiği için kullanıcılara güvenilmeyen LNK kısayolları ve sıkıştırılmış arşivlerle dikkatli olmaları istenir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge |
|---|---|
| İhtisas | secfileshare[.]com, kpuszkiev[.]com |
| RAR (SHA256) | 2102C2178000F8C63D01FD919940085D1449501337C4F9F51B7E444AA6FBF50,… |
| HTA (SHA256) | F8403e30dd4995561dc0674a3b1aedaea5d6839808428069d98e30e19bd6dc045, … |
| Yürütülebilir (SHA256) | F4f6beea11f21a053d27d719dab711a482ba0e2e42d160cefbddad7a958b93d0 |
Günlük Siber Güvenlik Haberleri’nde güncel kalın, bizi Google News, LinkedIn ve X’te takip edin.