Brezilya’da, görünüşte zararsız görüntü dosyalarındaki kötü amaçlı yükleri gizlemek için gelişmiş steganografik tekniklerden yararlanan karmaşık bir kötü amaçlı yazılım operasyonu ortaya çıktı.
En az Mart 2025’ten bu yana aktif olan Caminho yükleyicisi, karmaşık, çok aşamalı bir enfeksiyon zinciri aracılığıyla REMCOS RAT, XWorm ve Katz Stealer gibi çeşitli kötü amaçlı yazılım ailelerini dağıtarak Güney Amerika, Afrika ve Doğu Avrupa’daki kuruluşlar için giderek büyüyen bir tehdit oluşturuyor.
Kampanya, JavaScript veya VBScript dosyalarını barındıran sıkıştırılmış arşivler içeren, dikkatle hazırlanmış hedef odaklı kimlik avı e-postalarıyla başlıyor.
Bu ilk komut dosyaları, alıcıları kötü amaçlı kodu çalıştırmaları için kandırmak amacıyla sahte faturalar ve fiyat teklifi talepleri gibi iş temalı sosyal mühendislik tuzaklarını kullanıyor.
Çalıştırıldıktan sonra komut dosyası, Pastebin tarzı hizmetlerden gizlenmiş bir PowerShell yükünü alır ve daha sonra kar amacı gütmeyen meşru bir dijital arşiv platformu olan archive.org’dan steganografik görüntüleri indirir.
Güvenilir platformların kullanılması, kötü amaçlı yazılımın alan adı itibarına ve engellenenler listelerine dayanan geleneksel güvenlik kontrollerinden kaçmasına olanak tanır.
Arctic Wolf analistleri, yükleyicinin en dikkate değer yeniliğini, görüntü dosyalarından gizli .NET derlemelerini çıkarmak için En Az Önemli Bit (LSB) steganografisini kullanmasında tespit etti.
PowerShell betiği, indirilen JPG veya PNG dosyalarında belirli bir BMP başlık imzasını arar, ardından gizli ikili verileri kodlayan RGB renk kanalı değerlerini çıkarmak için her pikseli yineler.
İlk dört bayt, yük uzunluğunu belirtir ve ardından Base64 kodlu kötü amaçlı derleme gelir.
71 Caminho yükleyici örneğinin analizi, Brezilya kökenlerini güçlü bir şekilde gösteren “caminho” (yol), “persitencia” (süreklilik) ve “minutos” (dakika) gibi değişken adlarla birlikte tutarlı Portekizce dil kodunu ortaya koyuyor.
Çıkarılan yükleyici tamamen bellekte çalışır ve sanal makine algılama, korumalı alan ortamı tanımlama ve hata ayıklama aracı tanıma dahil olmak üzere kapsamlı analiz karşıtı kontroller uygular.
.webp)
Kötü amaçlı yazılım, son yükü calc.exe gibi meşru Windows işlemlerine eklemeden önce yük mimarisini doğruluyor ve enfeksiyon zincirini her dakika yeniden yürüten zamanlanmış görevler aracılığıyla kalıcılık sağlıyor.
Bu dosyasız yürütme yaklaşımı, geleneksel dosya tabanlı algılama mekanizmalarını alt eder ve güvenliği ihlal edilmiş sistemlerde minimum düzeyde adli eser bırakır.
Hizmet Olarak Yükleyici İş Modeli
Birden fazla kampanyada gözlemlenen operasyonel modeller, Caminho’nun tek bir tehdit aktörünün aracı yerine Hizmet Olarak Yükleyici operasyonu olarak işlev gördüğünü güçlü bir şekilde ortaya koyuyor.
Standartlaştırılmış başlatma arayüzü, rastgele yük URL’lerini bağımsız değişken olarak kabul ederek, birden fazla müşterinin aynı dağıtım altyapısını kullanarak farklı kötü amaçlı yazılım ailelerini dağıtmasına olanak tanır.
Altyapı analizi, farklı nihai yüklere sahip kampanyalarda aynı steganografik görüntülerin yeniden kullanıldığını ortaya çıkararak modüler hizmet mimarisini doğruluyor.
Çeşitli yük dağıtımı, AS214943 Railnet LLC’de kurşun geçirmez barındırma komuta ve kontrol altyapısı aracılığıyla dağıtılan REMCOS RAT’ı, kötü amaçlı alanlardan gönderilen XWorm’u ve Katz Stealer kimlik bilgisi toplayan kötü amaçlı yazılımları içerir.
Doğrulanan kurbanlar Brezilya, Güney Afrika, Ukrayna ve Polonya’yı kapsıyor ve coğrafi genişleme Haziran 2025’te steganografik tekniklerin benimsenmesiyle aynı zamana denk geliyor.
Kampanya, sürekli altyapı rotasyonu, gizleme güncellemeleri ve meşru hizmetlerin kötü amaçlı barındırma amacıyla kötüye kullanılması yoluyla operasyonel olgunluğu göstermektedir.
LSB çıkarma tekniğini gösteren kod pasajı: –
$plectonephric = [Drawing.Bitmap]::FromStream($biological);
$muffin = New-Object Collections.Generic.List[Byte];
for ($tazias = 0; $tazias -lt $plectonephric.Height; $tazias++) {
for ($lidger = 0; $lidger -lt $plectonephric.Width; $lidger++) {
$elayle = $plectonephric.GetPixel($lidger, $tazias);
$muffin. Add($elayle.R);
$muffin. Add($elayle.G);
$muffin. Add($elayle.B)
}
};Kuruluşlar, arşiv eklerindeki JavaScript ve VBScript dosyalarının engellenmesi, komut dosyalarını çalıştıran ve ağ bağlantılarını takip eden e-posta sanal alanının dağıtılması, PowerShell’in kodlanmış komutlarla izlenmesi ve bellek içi yüklerin algılanması için bellek tarama yeteneklerinin etkinleştirilmesi de dahil olmak üzere katmanlı güvenlik kontrolleri uygulamalıdır.
Archive.org gibi meşru platformların kapsamlı kullanımı, geleneksel çevre savunmaları için benzersiz zorluklar ortaya koyuyor; genel engelleme meşru iş operasyonlarını etkileyebilirken seçici URL engelleme, operatörlerin kanıtlanmış altyapı rotasyon yeteneklerine karşı etkisiz olduğunu kanıtlıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
