Mocha Manakin olarak adlandırılan yeni ve ilgili bir siber tehditle ilgili, siber güvenlik araştırma firması Red Canary tarafından tanımlandı. İlk olarak Ocak 2025’te izlenen bu tehdit, sosyal mühendislik insanları özel olarak inşa edilmiş kötü amaçlı yazılımlarla birleştiriyor.
Mocha Manakin, Paste ve Run (ClickFix veya Fakecaptcha olarak da bilinir) adlı aldatıcı bir taktik kullanır. Bu yöntem, bilgisayar kullanıcılarını genellikle bir belgeye erişimi düzeltme veya insan olduklarını kanıtlamak için adımlar olarak gizlenen zararlı komutları kopyalamaya ve çalıştırmaya yönlendirir.
Bu sahte talimatlar, düzenli güvenlik kontrollerini atlayarak kötü amaçlı komut dosyasının kurbanın bilgisayarına daha fazla zararlı programlar indirmesini kolaylaştırır. Ağustos 2024’ten bu yana, Red Canary, kullanıcıları kandırmadaki etkinlikleri nedeniyle macun ve koşu saldırılarında bir artış gördü.
NODEINITRAT: Fidye yazılımına yol açan özel olarak inşa edilmiş bir arka kapı?
Şirketin teknik blog yazısına göre, Mocha Manakin’i farklı kılan, sunduğu özel yapım kötü amaçlı programdır: NodeJS tabanlı bir arka kapı Nodeinitrat. Bir kullanıcı macun ve koşu hilesi için düştüğünde, bir .zip dosyasını indirmek için bir PowerShell komutu yürütülür, bu daha sonra kullanıcının geçici klasörüne kaydedilir, genellikle C:\Users\.
Bu .zip arşivi meşru bir Node.exe programı içerir. PowerShell daha sonra nodeinitrat kötü niyetli kodunu çalıştırmak için bu Node.exe’yi doğrudan komut satırı üzerinden geçirir.
Kurulduktan sonra, NodeInitrat gizlice hassas ağ bilgilerini toplayabilir, verilen komutları çalıştırabilir ve daha zararlı yazılım dağıtabilir. Bu özel arka kapı, genellikle etkinliğini gizlemek için meşru Cloudflare tünelleri kullanarak denetleyicileriyle internet üzerinden iletişim kurar.
Mayıs 2025 itibariyle Red Canary doğrudan Mocha Manakin’in fidye yazılımlarına yol açtığını görmedi. Bununla birlikte, Sekoia.io tarafından gözlemlenen enkaz fidye yazılımı etkinliğine olan yeteneklerine ve bağlantılarına dayanarak, Red Canary, mocha manakin enfeksiyonlarının durdurulmamış fidye yazılımı saldırılarına neden olabileceğine dair ılımlı bir güvene inanmaktadır. Bu bağlantı, veri şifreleme ve finansal talepler için ciddi potansiyeli vurgulamaktadır.
Mocha Manakin’e karşı nasıl korunur
Red Canary, kuruluşlara personelini macun ve koşu taktikleri konusunda eğitmelerini ve onlara komutları sistemlerine kopyalayıp yapıştırmalarını isteyen beklenmedik talimatları izlememelerini öğretmelerini tavsiye eder. Olağandışı bilgisayar davranışlarının izlenmesi de çok önemlidir. NodeInitrat bulunursa, kötü amaçlı yazılımları çalıştıran aktif node.exe işlemlerini hemen durdurun. Zararlı kod da gizli dosyalarda bulunabilir ( AppData\Roaming) veya kötü amaçlı yazılımların tekrar çalışmasını önlemek için silinmesi gereken Windows kayıt defteri girişlerinde.
Ağ savunması için, nodeinitrat tarafından kullanılan bilinen zararlı alanlarla iletişimi engellemek, kontrolörleriyle bağlantı kurmasını önleyebilir. Teknik ekipler ayrıca kullanan PowerShell komutlarını tespit etmek için algılama kuralları da ayarlayabilir invoke-expression Ve invoke-restmethodMocha Manakin’in ilk enfeksiyonunun tipik belirtileri. Uyarı kalarak ve bu koruyucu önlemleri uygulayarak, kuruluşlar bu büyüyen tehditten risklerini önemli ölçüde azaltabilir.