Haziran 2025’te “Olymp Loader” adlı yeni bir Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) tehdidi ortaya çıktı ve XSS ve HackForums gibi yeraltı korsan forumlarında agresif bir şekilde reklamı yapıldı.
“OLYMPO” olarak bilinen bir operatör tarafından reklamı yapılan bu kötü amaçlı yazılım, tamamen Assembly dilinde yazılmış karmaşık bir araç olarak pazarlanmaktadır.
Bu pazarlama stratejisi, yüksek performansı ve tersine mühendislik direncini öne sürerek siber suçluların ilgisini çekmeyi amaçlamaktadır.
Araç, çok yönlü bir paket olarak işlev görüyor; yükleyici, şifreleyici ve hırsız olarak görev yapıyor; bu da kaçınma teknikleri ve karmaşık enfeksiyon rutinlerini uygulamak isteyen saldırganların giriş engelini önemli ölçüde azaltıyor.
Kötü amaçlı yazılım, VirusTotal’da son derece düşük tespit oranlarıyla övünen “Tamamen Tespit Edilemez” (FUD) durumuyla hızla ün kazandı.
Genellikle PuTTY, Zoom veya GitHub’da barındırılan Node.js yürütülebilir dosyaları gibi meşru yazılım indirmeleri olarak gizlenen sosyal mühendislik kampanyaları aracılığıyla yayılır.
Bu yanıltıcı vektörler, kullanıcıları kötü amaçlı kodu çalıştırmaları için kandırarak kurbanın makinesinde enfeksiyon zincirini başlatır.
Kötü amaçlı varlıkları barındırmak için GitHub gibi saygın platformların kullanılması, bu sitelere giden ağ trafiğinin genellikle güvenlik cihazları için meşru görünmesi nedeniyle tespit edilmesini daha da karmaşık hale getirir.
Picus Security’nin güvenlik analistleri, Olymp Loader’ın sıklıkla LummaC2 ve Raccoon Stealer gibi tehlikeli yükler sunduğunu tespit etti.
Kötü amaçlı yazılımın hızlı evrimine, özellikle de ağustos ayı başlarında botnet mimarisinden modern bir damlalık modeline doğru stratejik dönüm noktasına dikkat çektiler.
Bu değişim, geliştiricinin teknik zorluklara ve siber suçlu topluluğundan gelen pazar taleplerine hızla uyum sağlama yeteneğini gösteriyor.
Anti-analiz ve Tespitten Kaçınma
3 Ağustos 2025’teki büyük yeniden yapılanmanın ardından Olymp Loader, enfeksiyonun başarılı olmasını sağlamak için gelişmiş anti-analiz mekanizmalarını uygulamaya koydu.
Kötü amaçlı yazılım artık şifrelenmiş yükleri doğrudan saplamanın içine yerleştiriyor ve bunları yalnızca yerel savunmaları etkisiz hale getirdikten sonra çalıştırıyor.
Bu kaçırma stratejisinin birincil bileşeni, Windows Defender’ın zorla devre dışı bırakılmasıdır. Yükleyici, gerçek zamanlı izlemeyi körleştirmek ve yolları taramanın dışında bırakmak için belirli PowerShell komutlarını yürütür.
Örneğin, bunu başarmak için aşağıdaki PowerShell komutunu kullanır: –
powershell -NoProfile -Command "Set-MpPreference -DisableRealtimeMonitoring $true"Daha sonra kötü amaçlı yazılım, yürütülebilir dosyaları Temp dizinine bırakır ve “Defender Remover” aracını kullanır.
Bu işlem, kayıt defteri değişikliklerini RemoveDefender.reg gibi dosyalar aracılığıyla uygulamak için PowerRun.exe’nin kullanılmasını ve SecurityHealthSystray.exe gibi kritik sistem dosyalarının silinmesini içerir.
Ayrıca Defender ile ilişkili dosya haritalarını silmek için WinSxS klasörünü de hedefler. Bu agresif savunma geçersiz kılma, yüklerin ana makinede kurulu uç nokta koruma çözümleri tarafından engellenmeden çalışmasını sağlar.
Taktikler günler sonra değişmeye devam etti; analistler, 10 Ağustos’tan itibaren örneklerin açık devre dışı bırakma komutlarının %APPDATA% ve %DESKTOP% gibi konumları kapsayan kapsamlı dizin hariç tutma listeleriyle değiştirildiğini gözlemledi.
Bu sürekli gelişim, Olymp Loader’ın standart güvenlik kontrollerini etkin ve gizlice atlatabilme yeteneğini öne çıkarıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
