Kampanya, daha sonra PureHVNC uzaktan erişim trojanını (RAT) dağıtan Hijackloader kötü amaçlı yazılımını dağıtmak için adli belge temalarından yararlanıyor; bu, bu kombinasyonun Latin Amerika’da İspanyolca konuşan kullanıcılara karşı kullanıldığı gözlemlenen ilk örnektir.
Kampanya, bölgede faaliyet gösteren tehdit aktörleri için önemli bir taktik değişimi temsil ediyor. Daha önce RemcosRAT dağıtımıyla CrowdStrike müşterilerini hedef alan kampanyalarda belgelenen Hijackloader, artık yer altı forumlarında ve Telegram kanallarında aktif olarak satılan bir hizmet olarak kötü amaçlı yazılım aracı olan PureHVNC’yi dağıtmak üzere yeniden tasarlandı.
Ağustos ve Ekim 2025 arasında IBM X-Force, Kolombiyalı kullanıcıları ülkenin Başsavcılığını taklit eden e-postalar aracılığıyla hedefleyen karmaşık bir kampanya tespit etti.
Ağustos ve Ekim 2025 arasında IBM X-Force, yerleşik saldırı altyapısının yeni ortaya çıkan yük dağıtımıyla bu yakınsaması, LATAM kuruluşlarının karşı karşıya olduğu gelişen tehdit ortamını gösteriyor.
Tehdit aktörleri, sahte bir şekilde Kolombiya Başsavcılığı’ndan geldiğini iddia eden ikna edici e-postalar hazırladı ve alıcıları, davaların eski çalışanlar tarafından açıldığını ve iş mahkemelerinde görüşülmeyi beklediğini bildirdi.
E-postalar, Google Drive’da açılmak üzere tasarlanmış SVG dosya eklerini içeriyor ve kurbanlara meşruiyet duygusu verirken, yükün kötü niyetli doğasını gizliyor.
Kurbanlar belge önizlemesine tıkladıklarında veya dosyayı Google Drive üzerinden indirmeye çalıştıklarında, şifre korumalı bir yürütülebilir dosya da dahil olmak üzere birden fazla dosya içeren bir ZIP arşivi alıyorlar.
Şifre, indirme tamamlama sayfasında belirgin bir şekilde görüntülenerek kurbanları kötü amaçlı ikili dosyayı çıkarmaya ve çalıştırmaya teşvik ediyor.
Bu sosyal mühendislik yaklaşımı, adli süreçlere ve resmi iletişimlere duyulan güveni istismar eder; psikolojik taktikler, özellikle yasal yazışmaların anında dikkat ve itaat gerektirdiği yüksek bağlamlı kültürlerde etkilidir.
Çok Aşamalı Enfeksiyon Zinciri
Enfeksiyon zinciri, Windows kitaplığı yükleme mekanizmalarını kötüye kullanan bir teknik olan DLL yandan yüklemeyle başlar. Hijackloader, meşru bir javaw.exe dosyasını yargı temalı bir adla (“02 BOLETA FISCAL.exe”) yeniden adlandırır ve aynı dizine kötü amaçlı bir JLI.dll yerleştirir.
Yeniden adlandırılan yürütülebilir dosya başlatıldığında, Windows, değiştirilen DLL dosyasını sistem yolu yerine yerel dizinden yükler ve kötü amaçlı yazılımların yürütülmesi için ilk dayanağı oluşturur.
Sonraki aşamalar karmaşık yükleyici işlevselliğini içerir. Kötü amaçlı yazılım, geçici dosyalarda saklanan şifrelenmiş yapılandırmaların şifresini çözer, sanal makine tespiti ve hata ayıklayıcı tanımlama dahil olmak üzere analiz karşıtı kontroller gerçekleştirir ve PureHVNC’yi meşru sistem süreçlerine yüklemek için kod enjeksiyon tekniklerini uygular.
Kötü amaçlı yazılım, API çağrısı kökenlerini maskelemek için yığın sahtekarlığı, antivirüs yazılımı tarafından yüklenen güvenlik izleme kancalarının kaldırılması ve analitik ortamları tespit etmek için talimat gecikmesini ölçen zamanlama tabanlı hata ayıklama önleme mekanizmaları dahil olmak üzere birden fazla kaçırma stratejisi kullanıyor.
Kabuk kodu daha sonra kötü amaçlı yazılımın yapılandırmasında belirtilen DLL olan vssapi.dll dosyasına yüklenir.
Hijackloader’ın modüler mimarisi, yapılandırma bayrakları aracılığıyla özelleştirilebilir davranışlara olanak tanır. Kötü amaçlı yazılım, zamanlanmış görev oluşturma ve başlangıç klasörü kısayolları da dahil olmak üzere birden fazla kalıcılık mekanizmasını destekleyerek sistem yeniden başlatmalarında sürekli erişim sağlar.
Sanallaştırma karşıtı rutinleri, fiziksel belleği, işlemci sayılarını ve hiper yönetici imzalarını sorgulayarak sanal alan ortamlarını algılar ve yetersiz kaynaklar bir analiz ortamı önerirse otomatik olarak sonlandırılır.
Kötü amaçlı yazılım, hem yasal ayrıcalık yükseltme yöntemleri hem de COM arayüzünden yararlanma yoluyla UAC atlama yeteneklerini bir araya getirerek, standart kullanıcı izinleriyle çalışırken yanal harekete ve ayrıcalık yükseltmeye olanak tanıyor.
Enjeksiyon yöntemleri, yapılandırma parametrelerine, destekleyici süreç boşluğuna, iş parçacığı bağlamının ele geçirilmesine ve bellek tabanlı algılama sistemlerinden kaçarken yükleri yürütmek için NTFS ile işlem yapılan dosya tekniklerine göre değişir.
Tehdit Ortamını Genişletmek
X-Force’un analizi, tehdit aktörlerinin LATAM bölgelerini hedeflemek için yerleşik dağıtım mekanizmalarını yeni ortaya çıkan yük taşıma araç kitleriyle giderek daha fazla birleştirdiğini gösteriyor.
Genellikle siber suç hizmetleriyle ilişkilendirilen ticari olarak temin edilebilen bir RAT olan PureHVNC’nin kullanımı, ya daha erişilebilir hizmet olarak kötü amaçlı yazılım tekliflerine doğru bir geçişi ya da yerleşik Hijackloader operatörleri ile RAT dağıtım hizmetleri sunan suç kuruluşları arasındaki işbirliğini önerir.
Kolombiya’daki ve Latin Amerika’daki kuruluşlar gelişmiş e-posta filtrelemeyi uygulamalı, bulut depolama hizmetlerinde SVG önizleme işlevini devre dışı bırakmalı ve DLL yan yükleme ve süreç ekleme tekniklerini tespit edebilen davranışsal analiz araçlarını dağıtmalıdır.
Resmi iletişimlerin kaynak kuruluşlarla doğrudan temas yoluyla doğrulanmasını vurgulayan kullanıcı farkındalığı eğitimi, adli ve resmi makamları hedef alan sosyal mühendislik saldırılarının azaltılması açısından kritik olmaya devam ediyor.
Uzlaşma göstergeleri
| Gösterge | Gösterge Türü | Bağlam |
|---|---|---|
| troquelesmyj[@]gmail.com | E-posta | Gönderenin e-postası |
| yeni777[.]ördekler[.]kuruluş | İhtisas | C2 Alanı |
| 7oktubredc[.]ördekler[.]kuruluş | İhtisas | C2 Alanı |
| dckis13[.]ördekler[.]kuruluş | İhtisas | C2 Alanı |
| dckis7[.]ördekler[.]kuruluş | İhtisas | C2 Alanı |
| nakliye ödemesi[.]misinoloji[.]açık | İhtisas | C2 Alanı |
| maximo26[.]ördekler[.]kuruluş | İhtisas | C2 Alanı |
| sofiavergara[.]ördekler[.]kuruluş | İhtisas | C2 Alanı |
| hxxps[:]//sürmek[.]google[.]com/file/d/1haApB_GMwZb83nw1YPdIDTLLMtksRjkh/view?pli=1 | URL’si | SVG Ana Bilgisayarı |
| hxxps[:]//sürmek[.]google[.]com/file/d/1wzunPhL33jq_ZQug6k03hgxi4Eu57VfN/view?usp=sharing | URL’si | SVG Ana Bilgisayarı |
| e7120d45ee357f30cb602c0d93ed8d366f4b11c251c2a3cd4753c5508c3b15e5 | SHA256 | Posta Kodu |
| 7e64102405459192813541448c8fbadc481997a2065f26c848f1e3594ca404c9 | SHA256 | RAR’lar |
| 14becb3a9663128543e1868d09611bd30a2b64c655dfb407a727a7f2d0fb8b7e | SHA256 | Gaspçı |
| 57c49cff3e71bc75641c78a5a728509007a18032510f607c042053c9d280511 | SHA256 | Gaspçı |
| 7c3d9ad3f1bd890e3552dc67093e161395d4e1fab79ec745220af1e19a279722 | SHA256 | Gaspçı |
| ce42377d3d26853fd1718f69341c0631208138490decc8e71a5622df5e9e1f59 | SHA256 | Gaspçı |
| a0e4979b4e4a706286438d480e21b0d92cc7bd40c1c3ea5b9872089aaec0124 | SHA256 | Gaspçı |
| 6d93a486e077858b75eb814e9a7bda181189d5833adce7cec75775cfda03f514 | SHA256 | Gaspçı |
| bdca9849d7263d508b7ed4dbbf86bd628932b117b45933cb28a7e78171d05cdd | SHA256 | Gaspçı |
| 1ae61edf35127264d329b7c0e2bddb7077e34cc5f9417de86ab6d2d65bad4b4f | SHA256 | Gaspçı |
| 2ec31a8a36d73fa8354a7ac039506dbe12638a0dc1b900f57620b8d53ae987f | SHA256 | Gaspçı |
| 776bbaa44c7788e0ccd5945d583de9473b6246c44906692cb0a52e6329cb213a | SHA256 | Gaspçı |
| 9e9997b54da0c633ffcf0a4fb94e67b482cf7a89522d1b254778d0c6c22c70ee | SHA256 | Gaspçı |
| b2f733b67f1ef06d9e5ce76d3cc848f6e7e3ec2d0c363c765175c6cf85f979b | SHA256 | Gaspçı |
| c93e70d20ba2948a6a8a013df68e5c4d14d59e5f549417d1a76833bd1c8efd22 | SHA256 | Gaspçı |
| d550a2a327394148c0c3d05df2fe0156783fc313b4038e454f9aa2cb2f0f2090 | SHA256 | Gaspçı |
| e668ca17fcdfa818aac35f12064d10a0288d7d9c6b688966b695125b760567d6 | SHA256 | Gaspçı |
| fe6d0ee45a70359008b2916e5116c411a955978b5694cc457683ab7b26590e47 | SHA256 | Gaspçı |
| 977f2f18ff13c93406c5702f83c04a9412760e02028aefc7c1cb7d6f2797a9b5 | SHA256 | Gaspçı |
| 768ca38878c5bb15650343ce49292315a9834eaf62fad14422d52510c3787228 | SHA256 | Gaspçı |
| 47245b7d2d8cb6b92308deb80399e0273193d5bca39da85a6b2a87a109d18d85 | SHA256 | Gaspçı |
| 4484b0ac51536890301a0e6573b962e069e31abc4c0c6f0f6fc1bf66bf588a93 | SHA256 | Gaspçı |
| 0113d9f3d93069a29458b3b4c33610aae03961014df60a9e859f3104086d886a | SHA256 | Gaspçı |
| 22d474e729d600dcd84ce139f6208ce3e3390693afa7b52b0615174fca6d0fe2 | SHA256 | Gaspçı |
| 2cbfc482e27a2240a48d2fb66f740ff0f08598f83ae643a507c6f12a865dc28 | SHA256 | Gaspçı |
| 96ee786c5b6167c0f0f770efbace25e97d61e127ef7f58a879b6cf4b57e202c3 | SHA256 | Gaspçı |
| 33d0c63777882c9ec514be062612a56fdb1f291fcb6676c49480d3cd4501c508 | SHA256 | Gaspçı |
| afecefa6d9bd1e6d1c92144209eda320e1fe0f196ffa8e8bc114e7d3a25503f6 | SHA256 | PureHVNC |
| 85641c8fb94e8e4c5202152dcbb2bb26646529290d984988ecb72e18d63c9bc5 | SHA256 | PureHVNC |
| 1bf3a1cf9bc7eded0b8994d44cf2b801bf12bc72dc23fb337ddd3a64ac235782 | SHA256 | PureHVNC |
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.