Phantom Stealer sürüm 3.5, dünya çapındaki kullanıcılar için ciddi bir tehdit olarak ortaya çıktı; parolalar, tarayıcı çerezleri, kredi kartı bilgileri ve kripto para birimi cüzdan verileri dahil olmak üzere hassas bilgileri çıkarabiliyor.
Bu karmaşık kötü amaçlı yazılım, genellikle meşru Adobe yazılım yükleyicileri olarak gizlenen aldatıcı paketleme yoluyla çalışır ve bu da, farkında olmayan kullanıcıların enfeksiyon meydana gelmeden önce tehlikeyi tanımlamasını zorlaştırır.
Saldırı, ilk olarak 29 Ekim 2025’te tanımlanan sahte bir Adobe 11.7.7 yükleyici dosyasıyla başlıyor. Dosya aslında, bir dizi kötü amaçlı etkinlik zincirini tetiklemek üzere tasarlanmış, gömülü JavaScript kodu içeren, karartılmış bir XML belgesidir.
Dosya yürütüldüğünde uzak sunucudan bir PowerShell betiği indirerek daha derin sistem güvenliği ihlali ve veri toplama için zemin hazırlıyor.
K7 Güvenlik Laboratuvarı araştırmacıları Phantom Stealer’ın önemli teknik gelişmişlik sergileyen çok aşamalı bir enfeksiyon mekanizması kullandığını belirledi.
.webp)
Kötü amaçlı yazılım, pozitifpay-messages.com/file/floor.ps1 URL’sinden gizlenmiş bir PowerShell betiği indiriyor ve bu betik, gizli özelliklerle çalışıyor ve güvenlik politikalarını atlıyor.
Bu komut dosyası, şifresi çözüldükten sonra bir .NET derlemesinin doğrudan belleğe yüklenmesine ilişkin talimatları ortaya çıkaran RC4 ile şifrelenmiş veriler içerir.
.webp)
İkinci aşama, meşru Windows yardımcı programı Aspnetcompiler.exe’ye işlem enjeksiyonu gerçekleştiren kritik bir bileşen olan BLACKHAWK.dll enjektörünü içerir.
Bu enjeksiyon tekniği, kötü amaçlı kodu güvenilir bir sistem sürecine yükleyerek hırsızın güvenlik yazılımının radarı altında çalışmasına olanak tanır.
Kötü amaçlı yazılım, Aspnetcompiler.exe’nin beş saniyelik aralıklarla çalışıp çalışmadığını sürekli olarak izleyerek, kalıcı çalışmayı garanti eder.
Proses Enjeksiyonu ve Kaçınma Teknikleri
Phantom Stealer, tespit ve analizden kaçınmak için gelişmiş kaçınma yöntemlerinden yararlanır. Kötü amaçlı yazılım, 112 sanal alan kullanıcı adından oluşan sabit kodlu bir listeyle şüpheli kullanıcı adı eşleşmesi yoluyla sanal makinelerin, sanal alanların ve izleme araçlarının tespiti de dahil olmak üzere çok sayıda anti-analiz kontrolü uygular.
.webp)
Bu tür ortamlar tespit edilirse, kötü amaçlı yazılım, sürecini zorla sonlandıran bir toplu iş dosyası oluşturarak kendi kendini yok eder.
En önemlisi, hırsız, 32 bitlik süreçlerin 64 bit yürütme moduna geçtiği, gelişmiş bir kullanıcı modu kancasından kaçınma tekniği olan Heavens Gate’i kullanıyor.
Bu, kötü amaçlı yazılımın 32 bit kullanıcı modu kancalarını atlamasına ve yerel x64 sistem çağrılarını doğrudan gerçekleştirmesine, işlem davranışını izlemek için tasarlanmış güvenlik mekanizmalarını tetiklemeden hassas verilere erişmesine olanak tanır.
Phantom Stealer, yüklendikten sonra şifrelenmiş veritabanlarına erişerek ve çıkarılan şifreleme anahtarlarını kullanarak bunların şifresini çözerek Chrome ve Edge verileri de dahil olmak üzere tarayıcı kimlik bilgilerini çıkarır.
Kötü amaçlı yazılım, kripto para cüzdanı kimlik bilgilerini, Outlook e-posta yapılandırmalarını, tuş günlüğüne kaydedilen verileri ve her 1000 milisaniyede bir alınan ekran görüntüleri de dahil olmak üzere sistem bilgilerini topluyor.
Veri hırsızlığı için hırsız, SMTP, FTP protokolleri ve Telegram ve Discord gibi iletişim platformları dahil olmak üzere birden fazla kanalı kullanıyor.
Çalınan veriler, bilgisayar adları ve zaman damgalarıyla düzenlenerek, kötü amaçlı kullanıma hazır, mağdur bilgilerinin düzenli bir deposu oluşturulur.
Kuruluşlar, gelişen bu tehdide karşı savunma sağlamak için güçlü e-posta filtrelemesi, düzenli yazılım güncellemeleri ve gelişmiş uç nokta koruması uygulamalıdır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
