Yeraltı forumlarında ve telgraf kanallarında “Bubbas Gate” olarak adlandırılan yeni bir kötü amaçlı yazılım yükleyicisi, Microsoft’un SmartScreen ve Modern AV/EDR çözümlerini atlamak da dahil olmak üzere cesur ileri kaçış yetenekleri iddialarına dikkat çekti.
Yükleyici ilk olarak 22 Haziran 2025’te tanıtıldı ve tehdit oyuncusu tespitten kaçınmak ve enfekte olmuş sistemlerde kalıcılığı en üst düzeye çıkarmak için tasarlanmış bir dizi özellik sundu.
Gelişmiş Kırılma Teknikleri
Aktörün promosyon yayınlarına göre, Bubbas Gate, modifiye edilmiş bir araç (vektör istisna işleyici) aracılığıyla dolaylı syscall’ların bir kombinasyonundan yararlanır, standart Windows API’lerini kullanmaktan kaçınır ve özel yığın mantığı ile birlikte yürürken PEB (işlem ortamı bloğu) kullanır.
Bu teknikler, uç nokta koruma platformlarının önünde kalmayı amaçlayan sofistike kötü amaçlı yazılım yükleyicileri arasında giderek daha fazla gözlenen bir eğilim olan geleneksel güvenlik kancalarını ve algılama mekanizmalarını atlatmak için tasarlanmıştır.
Yükleyicinin akıllı ekran baypas iddiası özellikle dikkate değerdir. Darkgate ve Phemedrone Stealer dağıtanlar gibi son kampanyalar, kullanıcı uyarılarını tetiklemeden kötü amaçlı yazılım sunmak için akıllı ekran güvenlik açıklarından yararlandı.
Bubbas Gate’in spesifik yöntemi doğrulanmamış olsa da, aktör akıllı ekran ve AV/EDR’den kaçınabileceğini ve bu tür kaçırma araçlarına yönelik siyah piyasa talebinde daha geniş bir artışla uyumlu olduğunu ileri sürüyor.
Bubbas Gate, hem x64 hem de x86 mimarilerinin yanı sıra .NET (2.0-4.0) ve Rust’ta derlenen ikili dosyaları TLS ve CRT destekli yürütülebilir ürünler için uyumluluğa sahiptir.
Özellikle, yükleyici, bcrypt.dll gibi standart Windows kriptografik API’lere dayanmayan ve güvenlik ürünleri tarafından algılanmayı daha da karmaşıklaştıran tescilli AES tabanlı bir şifreleme şeması kullandığını iddia ediyor.
Özellik seti ve fiyatlandırma
Telegram listesi, sağlam bir özellik kümesini detaylandırıyor:
- Kalıcılık: Her dakika otomatik restarts
- Anti-VM: Sanallaştırılmış analiz ortamlarını tespit eder ve kaçınır
- Gizlilik: Sahte Hata Penceresi, Kendi Kendi Kendini Delete Yeteneği, Dosya Boyutu Dolgu, Sürüm Klonlama
- Ayrıcalık yükseltme: Admin Desteği olarak çalıştırma
- Özelleştirme: Özel Simge Desteği, Iplogger Entegrasyonu
Yükleyici, derleme başına 200 $ olarak fiyatlandırılır ve alıcıları tespit edilmemiş operasyon vaatleriyle ikna etmek için kötü amaçlı yazılım satıcıları arasında giderek daha fazla görülen bir pazarlama taktiği “15 günlük Windows Defender Garanti” ile birlikte gelir.
İddialı iddialara rağmen, şu anda diğer tehdit aktörlerinden veya güvenlik araştırmacılarından bağımsız bir doğrulama yoktur.
Vahşi doğada sızan numuneler gözlenmemiştir ve yükleyicinin gerçek etkinliği kanıtlanmamıştır.
Bu, gerçek dünya etkisi doğrulanmadan önce yeni araçların genellikle hiper edildiği siber suç ekosisteminde nadir değildir.
Bubbas Gate’in ortaya çıkışı, kötü amaçlı yazılım geliştiricileri ve güvenlik satıcıları arasında devam eden silah yarışının altını çiziyor, kaçınma özellikleri ve anti-analiz teknikleri ön planda.
Kuruluşlar uyanık kalmalı, sistemlerin bilinen akıllı ekran ve EDR güvenlik açıklarına karşı yamalı olmasını ve aracın itibarı geliştikçe yeni yükleyici etkinliğini izlemelidir.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt