Sistemlere sızmak ve hassas bilgileri çalmak için meşru üretkenlik araçlarını silahlandıran sofistike bir kötü amaçlı yazılım kampanyası ortaya çıktı.
KurcperedChef kötü amaçlı yazılım, tehdit aktör taktiklerinde, geleneksel güvenlik savunmalarını atlamak için takvim araçları ve görüntü izleyicileri olarak gizlenmiş trojanize uygulamaları kullanarak bir evrimi temsil eder.
Bu kampanya, siber suçluların başlangıç erişimi kolaylaştırmak ve hedeflenen ortamlarda kalıcı dayanaklar oluşturmak için dijital olarak imzalanmış yazılımlara kullanıcı güvenini nasıl artırdığını göstermektedir.
Kötü amaçlı yazılım kampanyası iki temel uygulamaya odaklanmaktadır: Calendaromatic.exe ve ImaGelooker.exe, her ikisi de kötü amaçlı özellikleri barındırırken iyi huylu üretkenlik yazılımı olarak görünen.
Bu uygulamalar, Windows’un web korumalarının işaretinden kaçınmak için CVE-2025-0411’den yararlanan kendi kendine ekleyen 7-ZIP arşivleri ile dağıtılır ve akıllı ekran uyarılarını veya diğer itibar tabanlı güvenlik kontrollerini tetiklemeden yürütülmelerine izin verir.
Kampanya, kurbanları kötü amaçlı indirmelere yönlendirmek için aldatıcı reklam ve arama motoru optimizasyon tekniklerinden yararlanıyor ve genellikle ücretsiz üretkenlik kamu hizmetleri arayan kullanıcıları hedefliyor.
Field Effect analistleri, Microsoft Defender tarafından işaretlenen potansiyel olarak istenmeyen bir uygulamanın rutin analizi sırasında kampanyayı 22 Eylül 2025’te belirledi.
Araştırmaları, birden fazla şüpheli imza yayıncısı ve komut ve kontrol altyapısı içeren daha geniş bir dağıtım ağı ortaya çıktı.
Araştırmacılar, her iki kötü amaçlı uygulamanın Crown Sky LLC ve Limited Şirketi AppSolute gibi varlıklar tarafından dijital olarak imzalandığını ve kullanıcı şüphesini ve uç nokta savunmalarını atlamaya yardımcı olan bir meşruiyet kaplaması sağladığını keşfettiler.
Kötü amaçlı yazılımın etkisi, tarayıcı kaçırma, kimlik bilgisi hasat ve kalıcı arka kapı erişimi yoluyla kapsamlı sistem uzlaşması oluşturduğundan basit veri hırsızlığının ötesine uzanır.
DERPEDCHEF, Web trafiğini aynı anda yeniden yönlendirirken ve sürekli kötü amaçlı etkinlikleri kolaylaştırmak için tarayıcı ayarlarını değiştirirken tarayıcı depolanmış kimlik bilgilerini ve oturum bilgilerini ekspiltratlama yeteneğinde özel bir karmaşıklık gösterir.
Unicode kodlama ve çerçeve sömürüsü yoluyla gelişmiş kaçırma
Kurcperedchef kampanyası, modern uygulama çerçeveleri ve gelişmiş kodlama tekniklerinden yararlanmasıyla dikkate değer teknik gelişmişlik sergiliyor.
Hem Calendaromatic.exe hem de ImageLooker.exe, yerel uygulamalarda keyfi JavaScript kodunun yürütülmesini sağlayan hafif bir masaüstü çerçevesi olan NEDralinojs kullanılarak oluşturulur.
Bu çerçeve seçimi, kötü amaçlı yazılımların meşru masaüstü yazılımının görünümünü korurken sistem API’leri ile sorunsuz bir şekilde etkileşime girmesini sağlar.
Kötü amaçlı yazılım, görünüşte iyi huylu API yanıtları içinde kötü niyetli yükleri kodlayan birincil kaçırma mekanizması olarak Unicode homogliflerini kullanır.
Bu teknik, kötü amaçlı yazılımların, güvenlik ürünlerinin tanımlama için güvendiği geleneksel dize tabanlı algılama sistemlerini ve imza eşleştirme algoritmalarını atlamasını sağlar.
Yürütüldüğünde, kötü amaçlı yazılım bu gizli yükleri çözer ve bunları Neutralinojs çalışma zamanı üzerinden yürütür ve geleneksel izleme sistemlerinin radarının altında çalışan gizli bir yürütme kanalı etkili bir şekilde oluşturur.
Kalıcılık mekanizmaları, planlanan görevlerin oluşturulmasını ve belirli komut satırı bayraklarını kullanarak kayıt defteri değişikliklerini içerir. --install– --enableupdateVe --fullupdate.
Başarılı kurulum üzerine, kötü amaçlı yazılım, Calendaromatik dahil komut ve kontrol sunucuları ile derhal iletişim kurar[.]com ve hareket[.]com, uzak operatörlerin komutlar vermesini ve toplanan verileri dışarı atmasını sağlayan.
Ağ iletişimi, güvenlik ekiplerinin algılama ve analiz çabalarını daha da karmaşıklaştıran şifreli kanallar aracılığıyla gerçekleşir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
