“KurcperedChef” olarak adlandırılan gelişmiş bir kötü amaçlı yazılım kampanyası, güvenlik kontrollerini atlamak, kalıcılığı oluşturmak ve hedeflenen sistemlerden duyarlı bilgileri sifonlamak için görünüşte iyi huylu uygulamalar olarak gizlenmiş olan truva atılganlaştırılmış üretkenlik araçlarından yararlanıyor.
22 Eylül 2025’te, Microsoft Defender tarafından işaretlenen potansiyel olarak istenmeyen bir uygulamayı (PUA) araştıran Field Effect araştırmacıları, kendi kendini açıklayan 7-ZIP arşivi yoluyla yönlendirilen iki kötü amaçlı uygulamayı ortaya çıkardı.
Her iki yürütülebilir de, daha önce aldatıcı takvimatik örneklere bağlı bir yayıncı olan Crown Sky LLC’den geçerli dijital imzalar taşıdı.
Daha ileri analizler, bu eserlerin PUAS ve kodla imzalanmış ikili dosyaları itibar tabanlı savunmaları geçecek şekilde kaydırmak için daha geniş kurcaledchef kötü amaçlı yazılım kampanyasıyla uyumlu hale getirdiğini ortaya koydu.
İlk enfeksiyon vektörü, verimlilik kamu hizmetleri olarak maskelenen kendi kendine ekleyen 7-zip arşivlerine dayanmaktadır.
Hem ImageLooker.exe hem de Calendaromatic.exe, hafif bir masaüstü çerçevesinde keyfi JavaScript yürütmeyi sağlayan Neutralinojs üzerine kurulmuştur.
Başlatıldığında, her ikili, kullanıcı müdahalesi olmadan yükünü otomatik olarak çıkarır-Windows’un web korumalarının işaretini ve akıllı ekran gibi itibar filtreleri-standart arşiv uyarılarını devre dışı bırakmak için CVE-2025-0411’i kullanır.
Crown Sky LLC, AppSolute, Onestart Technologies LLC ve bir düzine diğerleri dahil olmak üzere yayıncılardan dijital imzalar, yürütülebilir ürünlere bir meşruiyet kaplama ödünç veriyor.
Bu geniş şüpheli imza varlıkları seti, kampanyanın bir hizmet olarak kötü amaçlı yazılım sağlayıcısından veya dağıtım için kod imzalayan bir pazardan yararlandığını önermektedir.
Gizli yürütme ve kalıcılık
Yürütüldükten sonra, kötü amaçlı yazılım varyantları komut ve kontrol alanları ile iletişime geçin-movementxview[.]ImaGelooker ve Calendaromatik için com[.]Com Calendaromatic için – ek yükler almak için.
Planlanan görevler ve kayıt defteri değişiklikleri yoluyla kalıcılık oluştururlar, komut satırı bayraklarından yararlanırlar --install– --enableupdateVe --fullupdate Devam eden yürütme ve gizli güncellemeleri sağlamak için.
Önemli bir şekilde, kurutperedchef, görünüşte zararsız API yanıtları içinde gizli yükleri kodlamak için Unicode homogliflerini kullanır.
Bu teknik, koddaki görsel olarak özdeş karakterlerin yerini alarak dize tabanlı algılama ve imza eşleşmesini atlayarak, iyi huylu komut dosyalarında kötü niyetli işlevselliği etkili bir şekilde gizler.
Taban kurduktan sonra, her iki kötü amaçlı yazılım örnekleri, yerel sistem API’leri ile etkileşim kurmak için nötrinoj kullanır, bu da gizli dosya sisteminin erişimini ve işlem yumurtlamasını sağlar.
Ağ trafik analizi, konut proxy hizmetlerine ve adware tarzı altyapılara giden giden bağlantıları ortaya çıkardı-tarayıcı korsan bileşenlerinin yeniden kullanımı. Kötü amaçlı yazılım şunlara devam eder:
- Hasat tarayıcısı saklı kimlik bilgileri ve oturum belirteçleri.
- Belge dosyalarını ve yapılandırma verilerini ekspiltratlayın.
- Tarayıcı trafiğini değiştirilmiş ayarlar aracılığıyla kötü amaçlı sayfalara yönlendirin.
Kimlik bilgisi hırsızlığı ve keşif üzerine odaklanma, uzun vadeli casusluk veya takip erişimine yönelik bir kampanyayı göstermektedir.
Kurcperedchef dağılımı büyük ölçüde SEO zehirlenmesine ve aldatıcı reklamlara dayanmaktadır. Anahtar kelime dolu açılış sayfaları, sahte incelemeler ve güven rozetleri ile birlikte “Ücretsiz PDF Editor”, “Windows için Takvim Uygulaması” veya “Resim Görüntüleyici İndir” için meşru indirme sitelerini taklit edin.
Sponsorlu arama sonuçları ve kötü niyetli pankartlar, kurbanları zararsız görünen kendi kendine ekleyen arşivlere-sadece indirildikten sonra kötü niyetli yükler başlatmak için.
Hafifletme
Kuruluşlar ve son kullanıcılar, Web aramalarından tanıdık olmayan yardımcı programlar yüklerken uyanık kalmalıdır. Önerilen savunmalar şunları içerir:
- Kod imzalama sertifikası doğrulamasının sıkı bir şekilde uygulanması.
- Yeni oluşturulan planlanan görevler veya kayıt defteri girişleri için uç nokta izleme.
- Bilinen kötü niyetli alanlara giden bağlantıların ağ algılanması.
- PUA’ların kum havuzu analizi ve kendi kendine ekleyen arşivler.
Kampanyanın PUA’ların teslimat mekanizmaları olarak gelişen kullanımı göz önüne alındığında, geleneksel itibar tabanlı savunmalar yetersiz olabilir. Davranış tabanlı algılama ve sağlam uygulamanın uygulanması, truva atma araçlarını yürütmeden önce engellemeye yardımcı olabilir.
Kurcaledchef kampanyası, tehdit aktörlerinin potansiyel olarak istenmeyen uygulamaları nasıl silahlandırdığını, dijital kod imzalamasını kötüye kullandığını ve algılamadan kaçınmak için gizli kodlama tekniklerini kullandığını gösteriyor.
Verimlilik araçları olarak maskelenerek ve kendi kendini ekleyen arşivlerden yararlanarak, bu saldırganlar erişim, hasat kimlik bilgileri kazanmak ve hassas verileri eksfiltrat etmek için ortak kullanıcı davranışlarından-sponsorlu sonuçları tıkamak ve ücretsiz yardımcı programlar indirmek-kullanırlar.
Dijital olarak imzalanmış ikili dosyaların ve davranış temelli izleme ile birlikte aldatıcı ambalajın artan incelemesi, ortaya çıkan bu tehdide karşı koymak için gereklidir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.