
Tinkywinkey olarak bilinen sofistike bir Windows tabanlı keylogger, Haziran 2025’in sonlarında yeraltı forumlarında ortaya çıkmaya başladı ve işletmeyi ve benzeri görülmemiş bir gizlilikle bireysel uç noktaları hedef aldı.
Basit kancalara veya kullanıcı modu işlemlerine dayanan geleneksel keyloglama araçlarının aksine, Tinkywinkey zengin bağlamsal verileri hasat ederken gizli kalmak için bir Windows hizmeti ve enjekte edilen bir DLL yük yükünü kullanır.
Kötü amaçlı yazılımların ortaya çıkışı, tehdit oyuncusu taktiklerinde rahatsız edici bir evrimin altını çizerek, derin sistem profilini düşük seviyeli klavye yakalamasıyla harmanlayarak casusluk ve kimlik bilgisi hırsızlığı için son derece çekici bir hedef sunmak için.
Tinkywinkey’in saldırı vektörü genellikle “Tinky” adlı kötü amaçlı bir hizmetin kurulmasıyla başlar. SCM API çağrıları aracılığıyla yüklenen hizmet, sistem yeniden başlatmalarında bile kalıcılığın sağlanmasıyla otomatik başlangıç için yapılandırılmıştır.
Etkinleştirme üzerine, servis çalışanı iş parçacığı, CreateProcesSasuser’ı yinelenen bir kullanıcı tokenine çağırarak etkin kullanıcı oturumunda birincil keyloglama modülünü (winkey.exe) ortaya çıkarır.
.webp)
Bu yaklaşım yalnızca görünür konsol pencerelerini önlemekle kalmaz, aynı zamanda kullanıcı modu masaüstü bağlamlarına doğrudan erişim sağlar. Cyfirma analistleri, bu tekniğin kötü amaçlı yazılımın sistem süreçleri içinde gizliliği korurken standart kullanıcı ayrıcalıkları altında sorunsuz bir şekilde çalışmasına izin verdiğini belirtti.
Yüklendikten sonra, Keylogger bileşeni, medya anahtarları, değiştirici kombinasyonları ve Unicode karakterleri dahil olmak üzere her tuş vuruşunu engellemek için düşük seviyeli kancalar (WH_KEYBOard_ll) kullanır.
Kötü amaçlı yazılım, yakalanan olayları göndermek için sürekli bir mesaj döngüsü tutar, her tuş vuruşunu ön plan pencere başlığı ve geçerli klavye düzeni ile ilişkilendirir.
Cyfirma araştırmacıları, Tinkywinkey’in Düzenli İşlemler üzerinden düzen değişikliklerini dinamik olarak tespit ettiğini, kurban diller arasında değiştiğinde etkinlikleri kaydettiğini belirledi.
Bu, saldırganların genellikle daha basit anahtarlayıcılar tarafından göz ardı edilen bir özellik olan çok dilli girdileri doğru bir şekilde yeniden yapılandırabilmesini sağlar.
.webp)
typedef LONG (WINAPI *RtlGetVersionPtr)(PRTL_OSVERSIONINFOW);
void log_windows_version() {
HMODULE hMod = LoadLibraryW(L"ntdll.dll");
if (hMod) {
RtlGetVersionPtr fn = (RtlGetVersionPtr)GetProcAddress(hMod, "RtlGetVersion");
RTL_OSVERSIONINFOW rovi = { sizeof(rovi) };
if (fn(&rovi) == 0) {
char buffer[128];
snprintf(buffer, sizeof(buffer),
"Windows version: %ld.%ld (build %ld)\n",
rovi.dwMajorVersion, rovi.dwMinorVersion, rovi.dwBuildNumber);
write_to_file(buffer);
}
}
}
Enfeksiyon mekanizması ve kalıcılık taktikleri
Tinkywinkey’in enfeksiyon mekanizması hizmete dayalı kalıcılığa ve gizli DLL enjeksiyonuna bağlıdır. “Tinky” hizmetini kurduktan sonra, yükleyici güvenilir bir işlemin PID’sini (en çok Explorer.exe) özel bir FindTgetPid rutini kullanarak çözer.
Process_all_access ile bir sap elde ettikten sonra, VirtualLocex aracılığıyla hedef süreçte bellek tahsis eder ve keylogger.dll’ye tam yolu yazar.
Daha sonraki bir createMotethread çağrısı, LoadLibraryw’e işaret eder, güvenilir süreci kötü amaçlı DLL yüklemeye zorlar.
.webp)
Bu uzak enjeksiyon yöntemi, sadece meşru bir işlem içindeki anahtarlama kodunu gizlemekle kalmaz, aynı zamanda bağımsız yürütülebilir dosyaları izleyen birçok uç nokta koruma çözümünden de kaçınır.
Son bir WaitForsingleObject çağrısı, tutamaçlar kapatılmadan önce enjeksiyonun temiz bir şekilde tamamlanmasını sağlar, sistem stabilitesini korur ve adli analizden uzlaşmayı daha da maskeleyin.
Birleşik hizmet yürütmesi ve hassas DLL enjeksiyonu sayesinde Tinkywinkey, emtia kötü amaçlı yazılımlarda nadiren görülen bir gizli ve esneklik seviyesine ulaşarak, modern pencere ortamlarını savunmak için yetersiz geleneksel algılama ve kaldırma stratejileri sağlar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.