WPS Office, Sogo ve Deepseek gibi popüler yazılımların sahte yükleyicileri aracılığıyla Çince konuşan kullanıcıları hedefleyen kötü niyetli bir kampanya ortaya çıktı.
Çin merkezli düşman grubu Silver Fox’a orta güvenle atfedilen bu işlem, başta MSI dosyaları şeklinde kötü amaçlı yazılım yüklerini dağıtmak için meşru yazılım portallarını taklit eden kimlik avı web sitelerini kullanıyor.
Gelişmiş kimlik avı kampanyası
Bu aldatıcı kurulumcular sadece meşruiyet yanılsamasını korumak için orijinal yazılımı yüklemekle kalmaz, aynı zamanda Sainbox Rat’ı meşhur GH0Strat’ın bir varyantını ve açık kaynaklı gizli rootkitin değiştirilmiş bir versiyonunu, saldırganların uzlaştırılmış sistemler üzerinde gizli, kalıcı kontrol kazanmasını sağlıyor.
.png
)
Enfeksiyon, şüphesiz kullanıcılar, yaygın olarak kullanılan Çinli yazılımlar için resmi sayfalara benzemek üzere tasarlanmış sahte web sitelerini ziyaret ettiğinde başlar.
İndirme düğmesini tıkladıktan sonra, kurbanlar sahte bir yükleyici sunan kötü amaçlı bir URL’ye yönlendirilir.
Netskope’un analizi, bu yükleyicilerin çoğunun MSI dosyaları olduğunu ve WPS Office varyantı bir PE yürütülebilir dosyası olduğunu ortaya koyuyor.
MSI dosyalarına odaklanan yürütme işlemi, Chromium gömülü çerçeve kütüphanesinin sahte bir versiyonu olan “libcef.dll” adlı kötü niyetli bir DLL’yi yan yükleyen “Shine.exe” adlı meşru bir ikili çalıştırmayı içerir. Eşzamanlı olarak, gerçek yükleyici şüpheyi önlemek için normal olarak ilerler.
Enfeksiyon zincirinin teknik dökümü
Bu işlem sırasında, kabuk kodu ve kötü amaçlı yazılım yükü içeren “1.txt” adlı bir dosya bırakılır.
Shine.exe, kötü amaçlı DLL’deki “CEF_API_HASH” işlevini çağırdığında, “Yönetim” adı altında Windows Kayıt Defteri Run tuşuna ekleyerek kalıcılığı ayarlar.
Daha sonra, “1.txt” içeriğini belleğe okur ve kontrolü yansıtıcı DLL enjeksiyonu için açık kaynaklı SRDI aracına dayanan 0xc04 baytlık bir segmente yönlendirir.
Bu kabuk kodu, 1.TXT içinden “Install.dll” adlı gizli bir DLL yükler ve ana kötü niyetli etkinliği başlatmak için dışa aktarılan “Shellex” işlevini çağırır.
Netskope tarafından daha fazla inceleme, DLL yükünü, .Data bölümüne başka bir PE ikili yerleştiren Sainbox Rat olarak tanımladı.
NTloadDriver işlevi aracılığıyla “Sainbox” adlı bir hizmet olarak yüklenen bu rootkit, süreçleri, dosyaları ve kayıt defteri girişlerini gizlemek için mini filtreler ve çekirdek geri çağrıları kullanırken, aynı zamanda kendini ve ilişkili süreçleri fesihten korur.
Bu gizli mekanizma, sıçanın tespit edilmemesini sağlayarak saldırganlara veri açığa çıkma ve ek yük dağıtım gibi faaliyetler için kurbanın makinesi üzerinde tam kontrol sağlayabilir.
GH0Strat varyantları gibi açık kaynaklı araçların ve emtia kötü amaçlı yazılımların kullanılması, rakiplerin minimum özel geliştirme ile nasıl sofistike saldırılar elde edebileceğini vurgulamaktadır.
Netskope tehdit laboratuvarları, Sainbox Rat ve Silver Fox’un taktikleri, teknikleri ve prosedürlerinin evrimini izlemeye devam ederek, kimlik avı altyapısında, hedefleme ve takımlardaki tutarlı kalıplar nedeniyle orta güven ilişkilendirmesine dikkat çekiyor.
Potansiyel yanlış bayrak işlemleri ve tehdit grupları arasındaki paylaşılan kaynaklar nedeniyle kesin düşman tanımlamasındaki doğal zorlukları kabul ederken.
Bu kampanya, popüler yazılım markalarının ve AI araçlarının artan kötüye kullanımını siber suçlarda cazibe olarak örneklendirerek kullanıcıları uyanık kalmaya ve indirme kaynaklarını doğrulamaya çağırıyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin