Pozitif teknolojilerdeki güvenlik araştırmacıları, Eylül 2024’ten bu yana dünya çapında 900’den fazla kurbanı tehlikeye atan “Çöl Dexter” adlı karmaşık bir kötü amaçlı yazılım kampanyası ortaya çıkardılar.
Şubat 2025’te keşfedilen saldırı, öncelikle Orta Doğu ve Kuzey Afrika’daki ülkeleri, Mısır, Libya, BAE, Rusya, Suudi Arabistan ve Türkiye’nin en çok etkilenen bölgelerle hedef alıyor.
Çöl Dexter’ın arkasındaki tehdit aktörleri, bölgenin mevcut jeopolitik iklimini kullanan bir sosyal mühendislik stratejisi kullanıyor.
Sosyal medya platformlarında, özellikle Facebook’ta sahte haber kanalları oluşturuyorlar, Libya Press, Sky News ve The Times of İsrail gibi meşru medya kuruluşları olarak maskeliyorlar.
Bu kanallar, meşru dosya paylaşım hizmetlerinde veya telgraf kanallarında barındırılan kötü amaçlı dosyalara bağlantılar içeren reklamlar yayınlar.
.webp)
Mağdurlar bu bağlantıları tıkladıklarında, karmaşık bir enfeksiyon zincirini başlatan kötü amaçlı JavaScript veya yarasa komut dosyaları içeren RAR arşivlerini indirirler.
Arşivler, kullanıcıların bölgesel çatışmalar hakkındaki merakını kullanan hassas siyasi bilgiler içeriyor gibi görünüyor.
Pozitif Teknolojiler Araştırmacılar, bu saldırılarda konuşlandırılan kötü amaçlı yazılımların, kripto para cüzdanlarını aramak ve bir telgraf botuyla iletişim kurmak için özelleştirilmiş, asyncrat’ın sofistike bir modifikasyonu olduğunu belirtti.
Yüklendikten sonra, kayıt defteri anahtarlarını değiştirerek ve kullanıcının başlangıç klasörünü kötü amaçlı bir yolla değiştirerek kalıcılık oluşturur.
Mağdurlar petrol üretimi, inşaat, bilgi teknolojisi ve tarım gibi çeşitli sektörleri kapsamaktadır.
Yaygın etki, sosyal mühendislik taktiklerinin meşru hizmetler ve jeopolitik yemlerle birleştirildiğinde ne kadar etkili olabileceğini göstermektedir.
Öldürme Zinciri
Çöl Dexter saldırı zinciri, çok sayıda şaşkınlık aşamasını kullanır. İlk enfeksiyon, aşağıdaki snippet gibi gizlenmiş kod içeren bir JavaScript dosyası ile başlar:
var FCZRAVDNOIUC = "C:\\ProgramData\\YUFJQUSCFHVBYK.ps1";
var XGCJFJGSLBOJF = "[REDACTED]";Bu komut dosyası daha sonra ana yükü içeren bir PowerShell dosyası oluşturur. Kötü amaçlı yazılım, asyncrat’ı meşru pencerelere enjekte etmek için yansıtıcı yükleme teknikleri kullanır ve özellikle ASPNET_COMPILER.EXE gibi .NET Framework dosyalarını hedefler.
Modifiye asyncrat bir Keylogger bileşeni içerir ve Binance cüzdanı, fantom ve güven cüzdanı gibi kripto para cüzdanı uzantılarını kontrol eder.
.webp)
Ayrıca Atomik Cüzdan ve Bitcoin Core gibi kurulu cüzdan uygulamalarını da arar. Saldırının tam öldürme zinciri, çok sayıda komut dosyası dilinin kalıcılık oluşturmak ve nihai yükü yürütmek için birlikte nasıl çalıştığını gösterir.
Komut ve kontrol sunucuları ile iletişim, VPN hizmetlerine bağlı DDNS alanları aracılığıyla gerçekleşir, ilişkilendirmeyi zorlaştırır, ancak imkansız değildir.
Araştırmacılar, şüpheli bir çöl Dexter üyesini, kötü amaçlı yazılım tarafından yanlışlıkla yakalanan ekran görüntüleri aracılığıyla belirlediler ve olası bir Libya kökenini gösterdi.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free