Yakın zamanda keşfedilen .NET tabanlı çok aşamalı bir yükleyici, karmaşık mimarisi ve Windows sistemlerine bir dizi kötü amaçlı yükü dağıtma yeteneği nedeniyle siber güvenlik araştırmacılarının dikkatini çekti.
Threatray tarafından 2022’nin başından beri izlenen bu yükleyici, AgentTesla, Formbook, Remcos ve 404Keylogger gibi emtia samanlılar, keyloggers ve uzaktan erişim truva atlarını (sıçanlar) sunmak için sofistike üç aşamalı bir süreç kullanıyor.

Şifreli yükleri birden fazla aşamaya yerleştiren yükleyicinin tasarımı, geleneksel güvenlik araçları için algılama ve analizi zorlaştırarak yüksek düzeyde şaşkınlık gösterir.
.png
)
Kod yeniden kullanım kümelenmesi yoluyla üç yıldan fazla bir süredir tanımlanan 20.000’den fazla örnekle, bu yükleyici kötü amaçlı yazılım manzarasında kalıcı ve gelişen bir tehdidi temsil etmektedir.
Üç aşamalı yükleme mekanizması açıklandı
Yükleyici, önce Palo Alto Networks’ten Unit42 tarafından da not edilen daha yeni varyantlarda Bitmap kaynakları içinde gizlenen, sonraki aşamalar için şifreli veri içeren bir .NET yürütülebilir dosyası yürüterek çalışır.

İkinci aşama, bir .NET DLL, üçüncü aşamayı XOR tabanlı şifre çözme kullanarak belleğe çözer ve yüklerken, son aşama kötü amaçlı yükü dağıtır.
Threatray’ın analizi, üçüncü aşamanın kod yapısının istikrarını vurgular ve kötü amaçlı yazılım beslemelerinde varlığını tespit etmek için tasarlanmış özel bir Yara kuralı ile etkili izleme sağlar.
Konuşlandırılan yükler ağırlıklı olarak bilgi çalanlar ve sıçanlar içerir, AgentTesla ve Remcos gibi aileler Mart 2022 ile Şubat 2025 arasında sık sık görünür.
İlginç bir şekilde, yükleyici taze örnekler ve uzlaşma göstergeleri (IOC’ler) sağlarken, Xworm ve Novodealer gibi varyantlar, ilk keşiflerinden çok sonra bu yükleyicide ortaya çıktığından, Vipkeylogger’ın vahşi doğadaki görünümü ile eşzamanlı olarak tanımlandığı için yeni kötü amaçlı yazılım ailelerinin erken tespitinde sınırlı bir değere sahiptir.
Yük dağıtım ve izleme bilgileri
Entrikaları daha da derinleştiren araştırmacılar, yükleyicinin geliştiricilerinin, Meyve Ninja ve Monster Hunter’a atıfta bulunanlar gibi oyunlardan ilham alan işlev adlarını ikinci aşamanın dağıtım rutinlerine atıfta bulunduğunu belirtti.
Bu benzersiz tanımlayıcılar, izleme amacıyla ek IOC’ler görevi görebilir.
Yükleyicinin adapte olma kabiliyeti, yüklü dizilerden yük depolama için Bitmap kaynaklarına geçiş ile kanıtlanmıştır, bakımcılarının statik analiz ve imza tabanlı algılama sistemlerinden kaçınma çabalarının altını çizmektedir.
Bu uyarlanabilirlik, gözlemlenen örneklerin hacmi ile birleştiğinde, belirli bir tehdit aktörüne veya ailesine atfedilmesi zor olmasına rağmen, yükleyicinin arkasında iyi organize edilmiş bir operasyona işaret etmektedir.
Siber güvenlik topluluğu, bu tehdidin kökenlerini ve operatörlerini daha iyi anlamak için bilgiler paylaşmaya teşvik edilmektedir.
Aşağıda, yükleyici ile ilişkili temel IOC’lerin özetlenmiş bir tablosu, yük konumlarını, ilk örnek karmalarını, çıkarılan üçüncü aşamalı karmalar ve nihai yük aileleri dağıtılan detaylandırılmıştır.
Uzlaşma Göstergeleri (IOC)
Aşama 1 yük konumu | Karma İlk Örnek | Karma Aşama 3 (çıkarılmış) | Nihai Yük Ailesi |
---|---|---|---|
Bitmap kaynağı | 2A3F660BC5DDEC834F1F6473E07D4A2581DD0139D6F84742A1C2E9B5FD4561B | 87B1535C73BAB017C8E351443519D5761C759884A95E32D3ED26173FDDC | Redlinestealer |
Bitmap kaynağı | 609BC44C18519741ABB62259B700403E05CC0FD57B972EF68CA6AE8194D27F2A | 052efeadeb1533936df0a1656b6f2f59f47ef10698274356e323109f87427c4 | AgentTesla |
Bitmap kaynağı | 6AD7485E8E4BB2AA919984473FED8A6C9201B29D1930D41126521524483E | 063CA3294442E1194F637E02186E9682F3872C59E6247B8A8C759E9CBA936669 | Darkcloudstealer |
Bitmap kaynağı | 81ccf158093718305b3499d0f16d8a82bcad69f274006daca8d5b5ca979688 | D3987a5d9cb294e7c7990c9a45b2a080dc9aa7b61fc4c9e437fc4659effda7 | Remos |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!