Hizmet olarak tanınmış bir kötü amaçlı yazılım (MAAS) yükleyici olan Pure Crypter, 2024 ve 2025 yıllarında Esentire Tehdit Yanıt Birimi (TRU) tarafından gerçekleştirilen kapsamlı bir teknik araştırmada Windows tabanlı sistemleri hedefleyen tehdit aktörleri için önemli bir araç olarak kabul edildi.
ClickFix Başlangıç Erişim vektörü aracılığıyla Lumma ve Rhadamanthys gibi bilgi stealer’larını dağıtmak için tercih edilen bu yükleyici, Microsoft’un Windows 11 24H2’deki en son güvenlik geliştirmelerinden kaçınmasında dikkate değer bir uyum gösterdi.
Kötü amaçlı yazılım yükleyicisi Windows sistemlerini hedefler
Microsoft’un 24H2 güncellemesinde proses oyma tabanlı enjeksiyonu önleyerek kötü amaçlı yazılım yükleyicilerini engelleme girişimi, Pure Crypter’ın geliştiricileri tarafından bellekteki Ntmanagehotpatch API’sının basit ama etkili bir yaması ile atlatıldı.
.png
)
Güvenlik araştırmacısı HashereZade tarafından detaylandırılan bu bypass tekniği, kötü amaçlı yazılımların daha yeni Windows derlemelerinde işlem oyma (RUNPE) yürütmesine izin vererek işletim sisteminin savunmalarını zayıflatır.
Pure Crypter’ın mimarisi, antivirüs (AV) ve uç nokta algılama ve yanıt (EDR) çözümlerini engellemek için tasarlanmış çok çeşitli kaçırma ve kalıcılık mekanizmalarını içeren sofistike olmasının bir kanıtıdır.
Protobufs serileştirilmiş bir mesaj olarak depolanan yapılandırması, yürütme sırasında şifre çözülür ve süzülür, AMSISCANBUFFER ve ETWEVENTWRITE API’lerinin bellek yaması yoluyla AMSI (Antimal Yazılım Tarama Arayüzü) Bypass gibi özelliklerin modüler aktivasyonunu sağlar.
DLL Kernel32.dll ve ntdll.dll ve checkremotedebuggerpresent gibi API’ler kullanarak anti-VM ve anti-kötü niyetli kontroller ve sanallaştırılmış ortamları tespit etmek için WMI sorguları yüklemek için dll.
Aldatıcı pazarlama
Ek taktikler, AV/EDR iletişimini engellemek için Ipconfig.exe aracılığıyla internet bağlantısının devre dışı bırakılması, Sleepex ile yürütme gecikmelerinin uygulanması ve başlangıç klasörlerinde çalışma anahtarları, planlanan görevler veya VBScript yoluyla kalıcılığın sağlanmasını içerir.
Yükleyici ayrıca .NET dosyaları için yansıma, VirtualAlloc ve Createthread üzerinden kabuk kodu enjeksiyonu ve OpenProcess ve UpdateProcTheReadTtribute kullanılarak ana işlem taklit edilmesi de dahil olmak üzere birden fazla yük yürütme yöntemini destekler, bu da kötü amaçlı işlemler için çok yönlü bir araç haline getirir.
Teknik kahramanlığının ötesinde, Pure Crypter’ın dağıtım ve pazarlama stratejileri tehdidini arttırıyor.
Hackforums gibi platformlarda satıldı[.]Satıcı ‘Purecoder’ tarafından, üç ay boyunca 159 $ ‘dan ömür boyu erişim için 799 $’ a kadar katmanlı aboneliklere sahip net, otomatik bir telgraf botu, @thepurebot ile dağıtılır, bu da saf madenci, saf sıçan ve saf günlük çalıcı gibi ilgili araçları da pazarlar.
Satıcı, Avcheck’te sıfır tespit sonuçları sergileyerek aldatıcı pazarlama kullanıyor[.]Net, örnekleri AV/EDR satıcılarıyla paylaşmaktan kaçınan bir tarama platformu.
Bununla birlikte, Esentire’nin Virustotal üzerindeki testi, yeni üretilen saplamaların en az 20 AV/EDR çözümü tarafından tespit edildiğini, önemli bir tutarsızlık ortaya çıkardığını ve satışları artırmak için yanıltıcı taktikler önerdiğini ortaya koydu.
Operasyonel güvenlik, kötü amaçlı yazılım satışlarında etek forum kısıtlamaları için bir Hizmet Şartları (TOS) sözleşmesi ile daha da sürdürülürken, paketleme işlemlerine ilişkin kotalara sahip kullanıcı dostu bir GUI, tehdit aktörleri için teknik engeli düşürür.
Buna karşı koymak için Esentire, ambalajın kaldırılması, yapılandırma çıkarma ve iplikten çözülmesini otomatikleştirmek için bir araç olan PurecryPterpunisher’ı geliştirdi, güvenlik araştırmacılarını gelişen siber manzaradaki bu yaygın tehdidi daha iyi analiz etmeleri ve hafifletmeleri için güçlendirdi.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!