Aktif ve teknik açıdan ilgi çekici izinsiz girişleri vurgulamaya yönelik devam eden çabanın bir parçası olarak, yeni bir “Flash Avcılık Bulguları” araştırması, bilgi hırsızları sunmak ve kullanıcı oturum açma bilgilerini ve kripto cüzdan verilerini çalmak için MalwareBytes’ı taklit eden kısa ama iyi yapılandırılmış bir kötü amaçlı yazılım kampanyasını ortaya çıkardı.
Etkinlik 11 Ocak ile 15 Ocak 2026 arasında gözlemlendi ve tutarlı ZIP yapıları, benzersiz bir davranışın yeniden kullanılması ve mağdur sistemlerde yürütme elde etmek için DLL yan yüklemesinin kötüye kullanılmasıyla karakterize ediliyor.
Tehdit aktörleri, meşru görünmek için MalwareBytes markasını kötüye kullanan ZIP arşivleri dağıtıyor. Örneklerin çoğu, aşağıdaki gibi tutarlı bir modeli izleyen dosya adlarını kullanır:
malwarebytes-windows-github-io-X.X.X.zip
Gözlemlenen tüm sürümlerde bu ZIP dosyaları aynı davranışı paylaşarak savunucuların bunları kolayca kümeleyip izlemesine olanak tanır:
behash: "4acaac53c8340a8c236c91e68244e6cb"
Bu arşivlerin bilinen ilk örneği 11 Ocak 2026’da görüldü; tespit edilen en son örnek ise 14 Ocak 2026 tarihli olup, uzun süren bir spam dalgası yerine odaklanmış, zamana bağlı bir operasyona işaret etmektedir.
İçeride arşivlerin neredeyse aynı iç düzeni var. Her paket şunları içerir:
- Yükleyici olarak kullanılan meşru, güvenilir bir yürütülebilir dosya (EXE).
- Birincil yük görevi gören kötü amaçlı bir DLL.
- Avcılık için pivot yapı olarak kullanılan, görünüşte zararsız bir TXT dosyası.
Tüm ZIP’lerdeki bu tutarlılık, kampanyanın tehdit avcılığı perspektifinden bakıldığında parmak izlerinin kolaylıkla alınabilmesini sağlar.
Altyapı ve Kampanya için TXT Pivotu
Her arşiv, VirusTotal’da aşağıdaki gibi dosya adları altında gözlemlenen bir TXT dosyası içerir: gitconfig.com.txt veya Agreement_About.txt.
Dosyanın içeriği minimum düzeydedir, yalnızca GitHub URL dizesini içerir ve izinsiz giriş zincirine işlevsel olarak katkıda bulunmaz.
Ancak bu TXT dosyası defans oyuncuları için son derece faydalıdır. VirusTotal kaynağından yararlanarak ve VT API v3 uç noktası aracılığıyla “yürütme üst öğelerini” sorgulayarak:
/api/v3/files/09a8b930c8b79e7c313e5e741e1d59c39ae91bc1f10cdefa68b47bf77519be57/execution_parents
analistler bu TXT dosyasına bırakılan veya bu dosyayla etkileşime giren ek ZIP arşivlerini hızlı bir şekilde sıralayabilir.
Bu, aynı operasyona bağlı daha fazla numunenin keşfedilmesi ve kampanyanın arkasındaki daha geniş altyapının ve dağıtım yöntemlerinin haritalandırılması için etkili bir pivot sağlar.
Saldırının özü, kötü amaçlı bir DLL dosyasının meşru bir yürütülebilir dosyanın yanına yerleştirildiği ve böylece Windows’un orijinal kitaplık yerine veya ona ek olarak saldırganın kodunu yüklediği iyi bilinen bir teknik olan DLL yan yüklemesine dayanır.
Bu kampanyada birincil veri, adlı kötü amaçlı bir DLL’dir. CoreMessaging.dll. Kurban veya analist, ZIP’te paketlenmiş güvenilen EXE dosyasını çalıştırdığında, işletim sistemi DLL bağımlılıklarını ilk önce yerel dizinden çözer ve bu da saldırganın kontrolündeki CoreMessaging.dll dosyasının yüklenmesine neden olur.
Bu, meşru bir uygulama başlatma görünümünü korurken tehdit aktörüne kod yürütme olanağı sağlar.
Bu işlemde kullanılan DLL’ler, onları mükemmel avlanma noktaları haline getiren çeşitli ayırt edici özellikleri ortaya çıkarır:
- gibi ifadeler de dahil olmak üzere meta verilerindeki olağandışı imza dizeleri
Peastaking plenipotence ductileness chilopodous codicillary.
ve sahte telif hakkı bildirimleri gibi© 2026 Eosinophil LLC - Garip alfasayısal tanımlayıcılardan oluşan dışa aktarılan işlev adları, örneğin:
15Mmm95ml1RbfjH1VUyelYFCfVe2dlSKEtPzvo1mHDN4FYgv
Bu yapılar, aynı tehdit kümesi içindeki ilgili DLL’leri ve ek aşamaları ortaya çıkarmak için VT veya EDR telemetri aramalarında kullanılabilir.
Infostealer’ın Son Yükleri
ZIP örneklerinin sanal alanlardaki “ilişkilerinin” davranışsal analizi, açık, tekrarlanabilir bir enfeksiyon zinciri gösterir: ZIP çıkarılır, yasal EXE çalıştırılır, CoreMessaging.dll yan yüklenir ve ardından yeni veriler bırakılır ve yürütülür.
Bu analizlerin “Yük Dosyaları” bölümünde araştırmacılar sürekli olarak bilgi hırsızı olarak işaretlenen ikincil aşama ikili dosyaları gözlemliyor.
Bu son veriler, kripto para cüzdanı tarayıcı uzantısı kimliklerinin ve diğer hassas verilerin toplanmasıyla ilişkili davranış ve kalıplara odaklanan imzalar da dahil olmak üzere birden fazla YARA kuralı tarafından tespit edilir.
Standart kimlik bilgisi hırsızlığına ek olarak bu durum, kripto varlık hırsızlığı konusunda güçlü bir para kazanma açısına işaret ediyor.
Bu ikincil verileri izlemek için analistler son aşamayı temsil eden başka bir davranışa odaklanabilir:
behash: 5ddb604194329c1f182d7ba74f6f5946
Bu davranışla eşleşen dosyalar, bu operasyonda kullanılan bilgi hırsızı ailesiyle defalarca ilişkilendirildi ve kümelenme ve devam eden avlanma için bir başka kararlı gösterge daha sağladı.
Savunmacılar için bu harekât çeşitli somut tespit ve avlanma fırsatları sunuyor:
- MalwareBytes benzeri adlar kullanan ve ilk davranışı paylaşan ZIP arşivlerini arayın.
- Aşağıdakileri içeren DLL yan yüklemesini izleyin:
CoreMessaging.dllsıra dışı ihracatlar ve ayırt edici imza dizelerinin yanı sıra. - VirusTotal, EDR telemetrisi ve tehdit istihbaratı platformlarında TXT dosyasını ve her iki davranış değerini pivot olarak kullanın.
- Güvenilmeyen kaynaklardan indirilen beklenmedik MalwareBytes “yükleyicisine” veya GitHub markalı ZIP’e son derece şüpheli davranın.
Gözlemlenen etkinlik penceresi kısa olsa da altyapının, DLL özelliklerinin ve davranış tanımlayıcılarının yeniden kullanılması, bu tehdit kümesinin iyi donanımlı güvenlik ekipleri için takip edilmesini nispeten kolay hale getiriyor ve güvenilir markaların kimlik bilgileri çalma operasyonları için güçlü bir cazibe olmaya devam ettiğini zamanında hatırlatıyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.