Güvenlik ekipleri, Ağustos 2025’in başlarında standart Windows Defender savunmalarının radarının altına kayarak yeni bir botnet suşunu gözlemlemeye başladı.
NightShadec2 olarak adlandırılan bu kötü amaçlı yazılım ailesi, tehlikeye atılan ana bilgisayarlarda kalıcı, uzaktan kontrol erişimi oluşturmak için hem C hem de Python tabanlı yüklerden yararlanır.
İlk enfeksiyon zincirleri genellikle kullanıcıları Windows Run istemi aracılığıyla komutları yürütmeye kandıran özelleştirilmiş “ClickFix” açılış sayfalarıyla başlarken, ikincil kampanyalar gelişmiş IP tarayıcı, CCleaner ve çeşitli VPN istemcileri gibi popüler yardımcı programların trojanize yükleyicilerini kullanır.
Yürütüldükten sonra, NightSHADEC2 ayrıcalıkları hızla artırır, bileşenlerini defans taramalarından devre dışı bırakır veya hariç tutar ve evi dinamik bir komut ve kontrol altyapısına çağırır.
Kampanya ortaya çıktıkça, Esentir analistleri nihai yükü teslim etmekten sorumlu ayırt edici bir yükleyici bileşeni belirledi.
Bu .NET tabanlı yükleyici, yükün çalışmasına izin vermeden önce NightShadec2 için savunmacı istisnaları eklemek için tasarlanmış sıkı bir döngüde yürütülür.
Defender hizmet kontrollerinin başarısız olması veya kullanıcının yüksekliği azalması durumunda, yükleyici adlı adını tekrarlar – araştırmacıların “UAC istemi bombalama” olarak adlandırdığı bir teknik.
.webp)
Yükseklik taleplerinin amansız barajı, sadece kötü amaçlı yazılım sanal alan ortamlarını hayal kırıklığına uğratmakla kalmaz, aynı zamanda gerçek kullanıcıları devam etmek için gerekli izinleri vermeye zorlar.
Defender istisnalarını güvence altına aldıktan sonra, yükleyici kalıcılık girişlerini sistem başlatılmasında yürütmeyi garanti etmek için üç ayrı kayıt konumuna (Winlogon, Runonce ve aktif kurulum) yazar.
Daha sonra, genellikle web trafiği (80 ve 443) veya yüksek numaralı bağlantı noktaları (7777, 33336, 33337) için ayrılmış TCP bağlantı noktaları üzerinden çekirdek C varyantını indirir ve şifresini çözer.
Kötü amaçlı yazılım, C2 ile RC4 şifreli bir oturum anahtarını müzakere etmeden önce, benzersiz bir parmak izi oluşturmak için kamuya açık Geo-IP arama hizmetleri ve kayıt defteri sorguları aracılığıyla derhal kurban sistemi detaylarını toplar.
Bu gizli kanal aracılığıyla, operatörler ters kabuk başlatılmasından yük indirmeleri, ekran çekimleri ve otomatik keyloglamaya kadar bir dizi komut düzenleyebilir.
UAC istemi bombalama: acımasız yükseklik döngüleri yoluyla savunucuyu atlamak
NightShadec2’nin gizliliğinin merkezinde UAC hızlı bombalama rutini. .NET modülünü yükledikten sonra, yükleyici, Defender’ın dışlama listesine henüz yazılmamış yükünü eklemek için bir PowerShell komutu oluşturur:
while ($exitCode -ne 0) {
Start-Process powershell -ArgumentList '-Command "Add-MpPreference -ExclusionPath C:\Windows\Temp\payload.exe"' -Wait
$exitCode = $LastExitCode
}İkinci aşama PowerShell yükleyici, yükleyicinin hariç tutma komutunu nasıl birleştirdiğini gösterir.
.webp)
Defender devre dışı bırakıldığında veya yanıt vermediğinde, çıkış kodu sıfır olmayan kalır ve sandbox analizlerini sonsuz bir döngüde yakalar.
UAC diyaloglarının bu zorla tekrarlanması, kötü amaçlı yazılım sanal alanındaki kaçırma döngüsü olan otomatik savunmaları etkili bir şekilde bozar.
.webp)
Bir kullanıcı nihayet yüksekliği veya hizmet durumu değişikliklerini onayladıktan sonra, döngü kırılır ve son yük teslim edilir.
Bu basit ama güçlü mekanizmadan yararlanarak, NightShadec2 hem otomatik hem de manuel denetimden kurtulur, operatörlerinin büyük tarayıcılardan kimlik bilgisi hırsızlığı gerçekleştirmesine, kurban masaüstlerinde gizli web tarayıcıları oluşturmasına ve hedeflenen ağlar arasında uzun vadeli kalıcılığı korumasına izin verir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.