2024’te Blitz adında yeni bir Windows tabanlı kötü amaçlı yazılım tanımlandı ve 2025’in başlarında güncellenmiş bir sürüm tespit edildi.
Aldatıcı oyun hileleri ile aktif olarak geliştirilen ve dağıtılan bu kötü amaçlı yazılım, bilgi çalma ve hizmet reddi (DOS) yeteneklerinin yanı sıra bir Monero kripto para birimi madencisini dağıtarak önemli bir tehdit oluşturmaktadır.
Palo Alto Networks birimi 42 tarafından ayrıntılı analiz, Blitz’in iki aşamada bir indirici ve komuta ve kontrol (C2) altyapısı için sarılma yüz boşlukları gibi alışılmadık platformlardan yararlanan bir bot yükü kullandığını ortaya koyuyor.
.png
)
Meşru AI kodu depolarının bu stratejik istismarı, özellikle oyun topluluğunda, şüphesiz kullanıcıları hedeflerken tespitten kaçınmayı amaçlayan siber suçluların gelişen taktiklerini vurgulamaktadır.
Teknik incelikler
Blitz kötü amaçlı yazılım, Nisan 2025’e kadar 100 milyondan fazla indirme yapan popüler mobil oyun Standoff 2 için öncelikle geri yüklenen oyun hileleri ile yayılıyor.
Elysium_crackby@sw1zzx_dev.zip ve nerest_crackby@sw1zzx_dev.zip adlı bu kötü niyetli paketler, Rusça konuşan bir kişi tarafından SW1ZZX kullanılarak işletilen bir telgraf kanalı aracılığıyla dağıtılır.
Yürütüldükten sonra, backdoured yürütülebilir ürünler, daha sonra Blitz botunu geri alan ve yükleyen Blitz Downloader’ı dağıtır.
Bu bot, Keylogging, ekran görüntüsü yakalama ve web sunucularına karşı DOS saldırıları gibi gelişmiş özelliklerle donatılmıştır.
Ayrıca, kötü amaçlı yazılım, sanal ortamlarda algılanmayı önlemek için zamanlama döngüsü yinelemeleri ve yüzen nokta öğretim kontrolleri gibi gelişmiş sandbox karşıtı teknikler kullanır.
Sarılma yüz boşluklarının C2 ana bilgisayar olarak kullanılması, Bot yükünü ve Monero kripto para birimini benimsemek için explorer.exe enjekte edilen bir XMRIG madencisini depoladığı için özellikle dikkat çekicidir.
Kötü amaçlı yazılım, FastaPi çerçevesi üzerine inşa edilmiş bir REST API ile iletişim kurar ve uç noktalar kurban kaydı ve 26 ülkede 289 enfeksiyonda 289 enfeksiyonda, ağırlıklı olarak Rusya, Ukrayna ve Belarus’ta komuta yürütmeyi kolaylaştırır.
Sonuçlar
Blitz’in sonuçları, özellikle Windows kayıt defteri girişleri aracılığıyla devam etme ve runtimeBroker.exe gibi meşru süreçlere yükleri enjekte etme yeteneği göz önüne alındığında şiddetlidir.
Kötü amaçlı yazılım operatörünün Mayıs 2025’in başlarında, kısmen etkili bir kaldırma aracının eşlik ettiği iddia edildiği iddiası, bu tehdidin geleceği hakkında sorular gündeme getiriyor.
Bununla birlikte, 2024’ün sonlarından itibaren trojanize montajcılar ve anlaşmazlık kanalları aracılığıyla yayılan önceki bir versiyon da dahil olmak üzere Blitz’in tarihsel evrimi, bu tür tehditlerin yeni kılavuzlar altında yeniden ortaya çıkabileceğini düşündürmektedir.
Palo Alto Networks, Blitz ile ilgili faaliyetleri tespit eden ve hafifleten gelişmiş orman yangını, gelişmiş tehdit önleme ve Cortex XDR gibi ürünlerle savunmaları güçlendirdi.
Kuruluşlar, çatlak yazılımlardan kaçınmaları ve oyun topluluklarını hedefleyen sosyal mühendislik taktiklerine karşı uyanık kalmaları istenir.
Uzlaşma Göstergeleri (IOC)
| Tip | Gösterge |
|---|---|
| SHA256 (Backdoured hileleri) | 14467edd617486a1a42c6dab287ec4ae21409a5dc8eb46d77b853427b67d16d6, vb. |
| SHA256 (İndirici) | 0E80FE5636336B70B1775E94AA219E6AA27FCF700F90F8A5DDDD73A22C898D646, vb. |
| SHA256 (Blitz Bot) | AE2F4C49F73F6D88B193A46CD22551BB31183AE6EE79D84BE010D6ACF9F2EE57, vb. |
| SHA256 (Xmrig Madenci) | 47ce55095e1f1f97307782dc4903934f6beec3476a45d853e48d63e1f2e15 |
| Sarılma Yüzü C2 Alanları | E445A00FFFE335D6DAC0AC0FE0A5ACCC-9591BEAE439B860-B5C7747.HF[.]boşluk, vb. |
| Telgraf kanalı | T[.]ME/SW1ZZX_DEV |
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun