Siber güvenlik manzarası, yeraltı forumlarında ve tehdit avı topluluklarında dolaşan yeni PowerShell merkezli kötü amaçlı yazılım örneklerinin ortaya çıkmasına tanık oldu ve kötü şöhretli Vipersoftx stealer’ın önemli bir evrimini işaret etti.
Bu güncellenmiş varyant, 2024 selefine dayanıyor, modülerlik, gizlilik ve kalıcılık mekanizmalarında dikkate değer gelişmeler sergiliyor ve kripto para birimi kullanıcıları ve işletmeleri için artan bir tehdit oluşturuyor.
Kötü amaçlı yazılım kodunun ayrıntılı analizi, gelişmiş operasyonel güvenlik ve dinamik uyarlanabilirliğe sahip sofistike bir tasarım ortaya koyar ve bu da onu savunucular için zorlu bir zorluk haline getirir.
.png
)
Rafine yürütme akışı
2025 Vipersoftx varyantı, farklı aşamalara ayrılan titizlikle yapılandırılmış bir yürütme akışını gösterir: başlatma, kalıcılık kurulumu, oturum yönetimi ve komut ve kontrol (C2) iletişimi.
Birden fazla örneği önlemek için basit bir 10 saniyelik gecikmeye sahip statik bir mutekslere dayanan 2024 sürümünün aksine, yeni varyant GUID tabanlı bir Mutex tanımlayıcısı kullanır ve gecikmeyi 300 saniyeye çıkarır.
Bu akıllı ince ayar sadece tekil bir yürütme sağlamakla kalmaz, aynı zamanda kum havuzlarının ve davranışsal analiz araçlarının tespitini de geciktirir.
Ek olarak, ağ gizliliği, HTTPClient’in kullanımdan kaldırılan sistem.net.webclient üzerinden benimsenmesi yoluyla önemli ölçüde geliştirilmiştir, bu da meşru yazılım davranışını taklit eden gelişmiş başlık manipülasyonu ve HTTPS uyumluluğunu mümkün kılmaktadır.
C2 İletişimi, düz metin veya temel kodlu verilerden, temel bir XOR şifresi (anahtar = 65) ile şifrelenmiş yüklere dönüşür, ağ günlüklerini daha az şüpheli hale getirir ve geleneksel saldırı algılama sistemlerini atlar.
Sağlam kalıcılık
2025 varyantındaki kalıcılık mekanizmaları, özellikle daha sağlamdır, hayatta kalmak için üç katmanlı bir geri dönüş stratejisi eklemek, kalıcılığın genellikle harici yükleyicilere devredildiği 2024 versiyonuna kesin bir kontrast oluşturur.
Yeni yaklaşım, Logon’da tetiklenen “WindowsUpDateTask” adlı planlanmış bir görev, HKCU altında bir kayıt defteri çalıştırma anahtarı ve başlangıç klasöründe gizli bir toplu iş dosyasını içerir ve kötü amaçlı yazılımın yeniden yayın sonrası yeniden kurulmasını sağlar.
Script, gizli bir konuma (AppData \ microsoft \ windows \ config \ winconfig.ps1) kendi kendini görür ve dağıtım sırasında kaçınma taktiklerini kullanır. Kalıcının ötesinde, kötü amaçlı yazılımların hedefleme kapsamı önemli ölçüde genişledi.
Eski varyant temel veri açığa çıkmasına odaklanırken, 2025 sürümü kapsamlı bir kripto para birimi cüzdanı (göç, atomik, elektrum, defter), tarayıcı uzantıları (metamask, binan, coinbase) ve Keepass konfigürasyonlarını hedefler.
Ayrıca, selefinde bulunmayan bir özellik olan coğrafi konum ve kampanya takibi için birden fazla geri dönüş web hizmetleri aracılığıyla kurbanın genel IP’sini aktif olarak getirir.
Gelişmiş modülerlik, Get-ServerId ve Test-ServerResTarted gibi işlevlerde belirgindir, bu da kötü amaçlı yazılımların C2 sunucusu yeniden dağıtımlarını algılamasını ve seansları buna göre yeniden başlatmasını sağlayarak profesyonel dereceli uyarlanabilirlik sergilemesini sağlar.
Rapora göre, 2025 Vipersoftx varyantı, benzersiz kurban kimliği, şifreli iletişim ve dinamik altyapı senkronizasyonu yoluyla gelişmiş operasyonel güvenliğe sahip açık bir sıçrayı temsil ediyor.
Modüler tasarımı, daha geniş hedef kapsama alanı ve kalıcı doğa, tehdit manzarasındaki çalıcıların artan sofistike olmasının altını çiziyor.
Bu tür gelişen kötü amaçlı yazılımlara karşı korunmak, çeşitli enfeksiyon aşamalarında tespit sunan K7 antivirüs gibi sağlam güvenlik çözümleri gerektirir.
K7 Labs, kullanıcıları ve kuruluşları korumak için bu gelişmiş tehditleri tanımlamaya ve azaltmaya kararlıdır.
IOC
| DOĞRAMAK | Varyant | Tespit Adı |
|---|---|---|
| Feaa4ac1a1c51d1680b2ed73ff5da5f2 | 2025 | Trojan (000112511) |
| 654909fecf9d41f7df96402bccde9b | 2024 | Trojan (0001140E1) |
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun