Aralık 2025’te tehdit araştırmacıları, karmaşık kimlik avı kampanyaları aracılığıyla Hindistan sakinlerini hedef alan endişe verici bir casusluk operasyonunu ortaya çıkardı.
SyncFuture adı verilen saldırı, siber suçluların meşru iş yazılımlarını gelişmiş kötü amaçlı yazılım saldırıları başlatmak için bir araç olarak nasıl kötüye kullanabileceğini gösteriyor.
Saldırganlar, Hindistan Gelir Vergisi Departmanı’nın kimliğine bürünerek kurbanları birden fazla aşamalı kötü amaçlı kod içeren kötü amaçlı dosyaları indirmeleri için kandıran sahte e-postalar gönderdi.
Enfeksiyon zinciri olağanüstü teknik karmaşıklığı ortaya koyuyor. Dosyaları açan mağdurlara, hükümetin belge inceleme aracı gibi görünen bir ZIP arşivi verildi.
.webp)
Bunun yerine arşivde, virüslü bilgisayarlar üzerinde tam kontrol elde etmek ve uzun vadeli erişimi sürdürmek için tasarlanmış çok aşamalı bir saldırı dizisini başlatacak, silah haline getirilmiş bir yürütülebilir dosya bulunuyordu.
eSentire analistleri ve araştırmacıları bu kampanyayı belirlediler ve güvenlik savunmalarından kaçınmak ve kalıcı erişim sağlamak için birden fazla saldırı tekniğini nasıl birleştirdiğini belgelediler.
.webp)
Tehdit aktörleri, meşru Microsoft imzalı ikili dosyalar, otomatik kaçınma taktikleri kullandı ve sonunda gerçek bir kurumsal yönetim platformunu nihai yükleri olarak yeniden tasarladılar; bu, kampanyanın karmaşıklığının ve kaynaklarının özellikle rahatsız edici bir göstergesi.
Otomatik Fare Simülasyonu Yoluyla Avast Antivirüs Kaçırma
SyncFuture kampanyası, çoğu kişinin otomatikleştirilmiş kötü amaçlı yazılımlardan beklemeyeceği bir teknikle özellikle Avast Free Antivirus’ü hedef alarak gelişmiş tespitten kaçınma taktiklerini gösteriyor.
Kötü amaçlı yazılım, Avast’ın bir kurbanın makinesinde çalıştığını tespit ettiğinde yenilikçi bir yaklaşım uyguladı: Avast’ın arayüzünde otomatik olarak gezinmek için fare hareketlerini ve tıklamaları simüle etti.
.webp)
Bu teknik, saldırganların belirli antivirüs ürünlerini ayrıntılı olarak incelediğini göstermesi açısından dikkat çekicidir.
Kötü amaçlı yazılım, Avast algılama iletişim penceresini bulur, ardından programlı olarak imleci sabit kodlu ekran koordinatlarına hareket ettirir ve güvenlik istisnaları oluşturan seçeneklere tıklar.
Kötü amaçlı yazılım, antivirüs yazılımını tamamen devre dışı bırakmaya çalışmak yerine insan benzeri kullanıcı eylemlerini simüle ederek kendisini başarıyla Avast’ın dışlama listesine ekledi ve kötü amaçlı dosyaları etkili bir şekilde beyaz listeye aldı.
.webp)
Bu kalıcılık mekanizması, tehdit aktörünün araçlarının antivirüs yazılımı tarafından tespit edilmeden çalışmasına olanak tanıdı.
Analiz edilen toplu komut dosyaları, özellikle Avast’ın çalışıp çalışmadığını kontrol eden koşullu mantık içeriyordu; bu da saldırganların kötü amaçlı yazılımlarını farklı antivirüs ortamları için kapsamlı bir şekilde test ettiğini ve özelleştirdiğini gösteriyor.
Bu bulaşma mekanizması, kötü amaçlı yazılımların karmaşıklığında önemli bir evrimi temsil ediyor; basit kaçırmanın ötesine geçerek, uzun vadeli casusluk hedeflerine ulaşmak için belirli güvenlik ürünlerinin hedefli manipülasyonuna doğru ilerliyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
