İnsanları sahte Malwarebytes yazılımını indirmeye yönlendiren, oturum açma bilgilerini ve kripto para birimi cüzdanlarını ciddi riske sokan yeni bir kötü amaçlı yazılım kampanyası ortaya çıktı.
Güvenlik araştırmacıları, bu operasyonun, meşru Malwarebytes yükleyicilerinin kimliğine bürünen özel hazırlanmış ZIP dosyalarını kullanarak 11 Ocak ile 15 Ocak 2026 arasında aktif olarak yayıldığını keşfetti.
Sahte dosyalar, kötü amaçlı yazılımbytes-windows-github-io-XXXzip olarak adlandırılıyor ve bu da onların, gerçek antivirüs koruması indirdiklerine inanan, şüphelenmeyen kullanıcılar için orijinal görünmelerini sağlıyor.
Kampanyanın birincil hedefi, hassas kullanıcı verilerini toplayan, bilgi çalan bir kötü amaçlı yazılım dağıtmaya odaklanıyor.
.webp)
Bu kötü amaçlı ZIP arşivleri, güvenlik savunmalarını aşmak ve virüslü sistemlerde kalıcılık sağlamak için tasarlanmış tehlikeli bir dosya kombinasyonu içerir.
Kullanıcılar, meşru Malwarebytes yürütülebilir dosyası gibi görünen bir dosyayı çıkarıp çalıştırdıklarında, bilmeden, sonuçta dijital güvenliklerini ve kişisel bilgilerini tehlikeye atan bir dizi kötü amaçlı olayı tetiklerler.
VirusTotal analistleri, bulaşma modellerini ve dosya yapılarını inceledikten sonra kötü amaçlı yazılımı tespit etti ve tüm şüpheli ZIP arşivlerinin “4acaac53c8340a8c236c91e68244e6cb” davranış değeri olarak bilinen tutarlı bir tanımlayıcıyı paylaştığını belirtti.
Bu teknik işaretleyici, kampanyanın kapsamının izlenmesinde ve operasyonda kullanılan ek değişkenlerin belirlenmesinde hayati önem kazandı.
Araştırmacılar, kötü amaçlı yazılımın, tespit ve analizi daha zorlu hale getiren karmaşık bir katmanlama tekniği aracılığıyla nasıl çalıştığını belgeledi.
DLL Yan Yüklemesi: Saldırı Mekanizması
Saldırı, Windows’un meşru yazılım kitaplıklarını yükleme şeklinden yararlanan, DLL yan yükleme adı verilen aldatıcı bir tekniğe dayanıyor. Kötü amaçlı yük, CoreMessaging.dll adlı bir dosyanın içinde gizlidir.
.webp)
Meşru Malwarebytes yürütülebilir dosyası çalıştığında, işletim sistemi orijinal kitaplık dosyası yerine bu kötü amaçlı DLL dosyasını yükler.
Tehdit aktörleri hem sahte DLL’yi hem de meşru EXE’yi aynı klasöre yerleştirerek Windows’u şüphe uyandırmadan kötü amaçlı yazılımı çalıştırması için kandırır.
Kötü amaçlı DLL’ler, “© 2026 Eosinophil LLC” gibi imza dizeleri ve “15Mmm95ml1RbfjH1VUyelYFCf” ve “2dlSKEtPzvo1mHDN4FYgv” gibi alfasayısal diziler içeren olağandışı dışa aktarılan işlevler dahil olmak üzere ayırt edici meta veriler içerir.
Bu özellikler, güvenlik araştırmacılarının ilgili örnekleri bulmasına ve daha geniş kampanyayı izlemesine olanak tanır.
Kötü amaçlı DLL yürütüldüğünde, özellikle kripto para cüzdanı bilgilerini ve depolanan tarayıcı kimlik bilgilerini hedef alan ikincil aşama bilgi hırsızlarını bırakır ve saldırganların kimlik hırsızlığı ve kripto para hırsızlığı yapmasına olanak tanır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
