Lightperlgirl olarak adlandırılan yeni tanımlanmış bir kötü amaçlı yazılım suşu, önemli bir siber güvenlik tehdidi olarak ortaya çıktı ve sistemlere sızmak için aldatıcı sahte captcha pop -up’larından yararlandı.
Rusça dili dizelerini içeren dahili telif hakkı imzası “Telif Hakkı (C) LightperlGirl 2025” den adını taşıyan bu kötü amaçlı yazılım, ClickFix saldırısı olarak bilinen kurnaz bir sosyal mühendislik taktiği aracılığıyla yayılır.
Yeni kötü amaçlı yazılım kampanyası kullanıcı güveninden yararlanır
Rapora göre, siber güvenlik firması Todyl kısa bir süre önce bu kampanyayı bir ortağın müşteri cihazında anormal PowerShell komut dosyaları gözlemlendiğinde tespit etti ve geleneksel güvenlik önlemlerini atlayan karmaşık, çok aşamalı bir enfeksiyon sürecini ortaya çıkardı.
.png
)
Bu kampanyanın kökeni ve tam kapsamı belirsizliğini koruyor, ancak sofistike infaz, BT uzmanlarından ve son kullanıcılardan acil dikkat gerektiriyor.
Saldırı, bir kullanıcı, CloudFlare gibi güvenilir bir hizmetten güvenlik doğrulaması olarak gizlenmiş kötü amaçlı JavaScript’e hizmet veren bir seyahat sitesi gibi WordPress tabanlı bir platform olan tehlikeye atılmış bir meşru web sitesini ziyaret ettiğinde başlar.
Bu komut dosyası sahte bir captcha açılır penceresini tetikler ve kullanıcıları Windows Run iletişim kutusu aracılığıyla gizlenmiş bir PowerShell komutunu yürütmeye kandırır.
Yürütüldükten sonra, komut “cmbkz8kz1000108k2carjewzf adresindeki bir komut ve kontrol (c2) sunucusuyla iletişim kurar[.]Bilgi, ”hafızada çalışan ikincil bir PowerShell betiğini indirmek.
Helpio, Urex ve exwpl gibi işlevlerden oluşan bu senaryo, gizli ve kalıcılık için tasarlanmıştır.
Todyl sofistike çok aşamalı saldırı zincirini ortaya çıkarır
Helpio, bir UAC istemi aracılığıyla idari ayrıcalıklar kazanmaya çalışır ve sonraki yüklerin algılamadan kaçınmasını sağlayan “C: \ Windows \ Temp” için bir Windows Defender dışlama ekler.
Urex, hariç tutulan geçici klasörde “Lixpay.bat” olarak kaydedilen bir toplu dosyayı (“evr.bat”) indirerek kalıcılık oluşturur ve yeniden başlatmada otomatik yürütme için kullanıcının başlangıç dizininde bir kısayol oluşturur.
Bu arada, exwpl, temelsiz teknikler kullanır, baz64 kodlu bir .NET montajını kodlar, System.Refection.ssembly.load () kullanarak belleğe yükler ve geleneksel antivirüs tespitini önemli ölçüde engelleyen bir yöntem yazmadan yürütülür.
Sıkıştırma sonrası, kötü amaçlı yazılım, toplu iş dosyası aracılığıyla kalıcı bir C2 bağlantısını tutar ve saldırganların doğrudan bellekte ek komutlar yürütmesine izin verir.
Todyl’in analistler Earnest V ve David L liderliğindeki soruşturması, etkilenen cihazda uç nokta güvenliğinin, ilk PowerShell komut dosyasının yürütülmesini önleyebileceği için kritik bir güvenlik açığı olarak vurguladı.
Bununla birlikte, MXDR ekibleri Todyl Siem ve PowerShell komut dosyası blok günlüklerini kullanarak ana bilgisayarı başarıyla izole etti.
Saldırının kullanıcı etkileşimine olan güveni, farkındalığın öneminin altını çiziyor; Todyl, herhangi bir Captcha’ya komuta yürütme yetkisine güvenmeyi şiddetle tavsiye eder.
Kapsamlı uç nokta güvenliğini dağıtmak ve tehdit avı için uzlaşma göstergelerini (IOC’ler) kullanmak, bu riski azaltmak için kritik adımlardır.
Uzlaşma Göstergeleri (IOCS)
| Gösterge Türü | Değer |
|---|---|
| Dosya Yolu (Kalıcılık) | $ env: appdata \ microsoft \ windows \ start menü \ programlar \ startup \ startup \ lixpay.url |
| Dosya Yolu (Yük) | C: \ windows \ temp \ lixpay.bat |
| Etki Alanı (C2 Sunucusu) | cmbkz8kz1000108k2carjewzf.info |
| IP aralığı (şüpheli) | 146.70.115.0/24, 91.92.46.0/24, 94.74.164.0/24 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin