Interlock Ransomware Group’un arkasındaki tehdit aktörleri, FileFix adı verilen bir ClickFix varyantını kullanarak yaygın bir kampanyanın bir parçası olarak ısmarlama uzaktan erişim Trojan’ın (sıçan) yeni bir PHP varyantını serbest bıraktı.
DFIR raporu, “Mayıs 2025’ten bu yana, LandUpdate808 (diğer adıyla Kongtuke) Web enjekte tehdit kümeleriyle bağlantılı olarak kilitlenen aktivite gözlemlenmiştir.” Dedi.
“Kampanya, sayfanın HTML’sinde gizlenmiş, genellikle site sahipleri veya ziyaretçilerden habersiz tek satırlık bir komut dosyası ile enjekte edilen güvenliği ihlal edilmiş web siteleriyle başlıyor.”
JavaScript kodu, kullanıcıları nodesnake (diğer adıyla kilitleme faresi) dağıtımına yol açan bir PowerShell komut dosyası çalıştırmaya ikna etmek için tıklama fixinden yararlanan kullanıcıları sahte captcha doğrulama sayfalarına yönlendirmek için IP filtreleme tekniklerini kullanarak bir trafik dağıtım sistemi (TDS) olarak işlev görür.
Nodesnake’in Interlock tarafından kullanılması, Ocak ve Mart 2025’te Birleşik Krallık’ta yerel yönetimi ve yüksek öğrenim organizasyonlarını hedefleyen siber saldırıların bir parçası olarak daha önce Quorum Cyber tarafından belgelenmişti. Kötü amaçlı yazılım, kalıcı erişim, sistem keşif ve uzaktan komuta yürütme yeteneklerini kolaylaştırıyor.
Kötü amaçlı yazılımın adı Node.js temellerine bir referans olsa da, geçen ay gözlemlenen yeni kampanyalar, bir PHP varyantının FietFix ile dağılımına yol açmıştır. Etkinliğin, çok çeşitli endüstrileri hedefleyen doğada fırsatçı olduğu değerlendirilmektedir.
Araştırmacılar, “Bu güncellenmiş dağıtım mekanizması, bazı durumlarda, kilit sıçanının node.js varyantının dağıtımına yol açan kilitleme sıçanının PHP varyantının dağıtılması gözlemlenmiştir.” Dedi.
FileFix, Windows işletim sisteminin kurbanlara Dosya Gezgini’nin adres çubuğu özelliğini kullanarak komutları kopyalama ve yürütme konusunda talimat verme yeteneğinden yararlanan bir ClickFix evrimidir. İlk olarak geçen ay güvenlik araştırmacısı MRD0X tarafından bir kavram kanıtı (POC) olarak detaylandırıldı.
Kurulduktan sonra, sıçan kötü amaçlı yazılım, enfekte konakçı ve Sistem bilgilerinin JSON formatında keşiflerini gerçekleştirir. Ayrıca, kullanıcı, yönetici veya sistem olarak çalıştırılıp çalıştırılmadığını belirlemek için kendi ayrıcalıklarını kontrol eder ve exe veya DLL yüklerini indirmek ve çalıştırmak için uzak bir sunucu ile iletişim kurar.
Makinede kalıcılık Windows kayıt defteri değişiklikleri ile gerçekleştirilirken, yanal hareketi etkinleştirmek için uzak masaüstü protokolü (RDP) kullanılır.
Truva atının dikkate değer bir özelliği, komut ve kontrol (C2) sunucusunun gerçek konumunu gizlemek için Cloudflare tüneli alt alanlarını kötüye kullanmasıdır. Kötü amaçlı yazılım ayrıca, Cloudflare tüneli alınmış olsa bile iletişimin bozulmadan kalmasını sağlamak için sabit kodlu IP adreslerini bir geri dönüş mekanizması olarak yerleştirir.
Araştırmacılar, “Bu keşif, Interlock Group’un araçlarının sürekli evrimini ve operasyonel sofistike olmalarını vurguluyor.” Dedi. “Node.js Interlock Rat varyantı Node.js kullanımı ile bilinirken, bu varyant kurban ağlarına erişimi kazanmak ve sürdürmek için ortak bir web komut dosyası dili olan PHP’yi kullanır.”