PDF Düzenleyicisi olarak gizlenmiş, kurutma makinesi kötü amaçlı yazılım tarayıcı kimlik bilgilerini kaçırır ve arka kapıları açar


WithECure’nin Stratejik Tehdit İstihbarat ve Araştırma Grubu’ndan (Stingr) yeni araştırmalara göre, Döküm Yönetimi Dublajlı gelişmiş bir kötü amaçlı yazılım kampanyası, meşru bir PDF editör uygulaması olarak maskelenerek Avrupa organizasyonlarını başarıyla tehlikeye attı.

Kampanya, tehdit aktörlerinin, hassas kimlik bilgilerini hasat etmek ve kalıcı arka kapı erişimini sağlamak için ikna edici reklam stratejilerinden ve tamamen işlevsel tuzak uygulamalarından nasıl yararlanabileceğini gösteriyor.

Kurcperedchef kampanyası, yalnızca saldırgan kontrollü indirme sitelerine yönlendiren kötü amaçlı reklamlarla karşılaşmak için ücretsiz PDF düzenleme yazılımı arayan kullanıcılarla başladı.

MERVEREDCHEF - Ülke Heatmap.
TARMPEREDCHEF – Ülke Heatmap.

Tehdit oyuncusu, yüklerini bir son kullanıcı lisans sözleşmesi (EULA) iletişim kutusunu görüntüleyen bir Microsoft yükleyici (MSI) paketi üzerinden dağıttı ve otomatik güvenlik algılama sistemlerinden kaçarken meşruiyet görünümü oluşturdu.

Kurulum süreci, kısıtlı kullanıcı izinleri olan kurumsal ortamlarda özellikle etkili olmasını sağlayan herhangi bir idari ayrıcalık gerektirmedi.

MSI yükleyicisi tarafından görüntülenen EULA iletişim kutusu.
MSI yükleyicisi tarafından görüntülenen EULA iletişim kutusu.

Kullanıcı profili dizini altına yüklendikten sonra, kötü amaçlı yazılım, Autorun kayıt defteri girişleri aracılığıyla kalıcılık kurdu ve uygulamanın System Logon’da otomatik olarak başlatılmasını sağladı.

Teknik mimari ve yük

AppSuite PDF Editor, NodeJS kullanılarak oluşturuldu ve tam özellikli krom bazlı bir tarayıcı olarak işlev gören bir elektron uygulaması olarak paketlendi.

Kötü niyetli işlevsellik öncelikle iki bileşende ikamet ediyordu: pdfeditor.js, hem kullanıcı arayüzünden hem de kötü amaçlı etkinliklerden sorumlu ağır bir şekilde gizlenmiş bir JavaScript dosyası ve kayıt defteri girişlerini ve planlanan görevleri manipüle etmek için tasarlanmış özel bir Nodejs modülü olan UtilityAddon.node.

Obsuscated komut dosyalarına sahip uygulama dizin.
Obsuscated komut dosyalarına sahip uygulama dizin.

Uygulama, yaklaşık iki ay boyunca beklendiği gibi çalıştı ve PDF-Tool’da barındırılan web içeriği aracılığıyla meşru PDF düzenleme özellikleri sağladı[.]Uygulamalar[.]AI. Bu genişletilmiş dinlenme dönemi, kullanıcılara ve güvenlik sistemlerine güvenirken kötü amaçlı yazılımın algılamadan kaçınmasına yardımcı oldu.

21 Ağustos 2025’te, gömülü yük etkinleştirildi ve enfekte sistemlerden tarayıcıda saklanan kimlik bilgilerini sistematik olarak hasat etmeye başladı.

Aktivasyon, kampanyanın gerçek niyetini ortaya çıkardı ve tehdit aktörlerini kötü niyetli JavaScript kodu kaldırılırken, sanitize sürümleri (1.0.40 ve 1.0.41) hızla yayınlamaya teşvik etti. Bununla birlikte, bu “temiz” versiyonlar, potansiyel arka kapı yeteneklerini koruyarak saldırgan kontrollü altyapıya bağlanmaya devam etti.

Araştırmalar, aynı anda inşa edilmiş ancak daha düşük piyasa talebi nedeniyle terk edilmiş benzer bir tuzak uygulaması olan Appsuite baskının varlığını ortaya çıkardı.

Daha da önemlisi, kampanyanın halefi olarak tanımlanan S3-Forge’un ortaya çıkışı. Bu yeni varyant, potansiyel olarak Amazon Web Services Bulut Depolama Referansları aracılığıyla yazılım geliştiricilerini hedeflerken doğrudan PDF Editör konseptinde oluşturulur.

“--Cm” komut satırı bağımsız değişkeni S3-forge.
“–Cm” komut satırı bağımsız değişkeni S3-forge.

S3-forge, sincap çerçevesi aracılığıyla dağıtılan NuGet paketlerini kullanır ve yeni dağıtım yöntemleriyle deneyler gösterir. Uygulama, kötü niyetli bileşenleri kötü amaçlı özellikleri sağlayan “–cm” komut satırı argümanını korurken algılamayı daha zorlaştırır.

Etki ve Öneriler

DERPEDCHEF’ten etkilenen kuruluşlar, tarayıcıda saklanan kimlik bilgilerinin tam olarak uzlaşmasını üstlenmelidir. Kampanyanın başarısı, meşru kod imzalama sertifikaları elde etmek ve hedefli reklam kampanyaları yürütmek de dahil olmak üzere sofistike planlamayı göstermektedir.

Kritik güvenlik önlemleri şunları içerir:

  • Etkilenen tüm kullanıcılar için anında kimlik bilgisi rotasyonu.
  • Tüm kurumsal sistemlerde oturum geçersiz kılınma.
  • İş ortamlarında onaylanmış yazılım politikalarının uygulanması.
  • Mümkün olan yerlerde tarayıcı şifre depolama alanı devre dışı bırakma.
  • Katı politika kontrolleri olan kurumsal şifre yöneticilerinin uygulanması.

Kurcalam kampanyası, sosyal mühendislik taktiklerinde, meşru uygulama işlevselliğini hasta, uzun vadeli uzlaşma stratejileri ile birleştiren bir evrim ile ilgili bir evrimi temsil etmektedir. Tehdit aktörleri bu sofistike saldırı yöntemlerini geliştirmeye devam ettikçe, kuruluşlar benzer aldatıcı yazılım dağıtım kampanyalarına karşı uyanık kalmalıdır.

Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.



Source link