Gelişmiş gizli yetenekleri ve kapsamlı veri açığa çıkma özelliklerine sahip Windows sistemlerini hedefleyen “Tinkywinkey” olarak adlandırılan gelişmiş yeni Keylogger kötü amaçlı yazılım.
İlk olarak Haziran 2025’in sonlarında gözlemlenen bu kötü amaçlı yazılım, keyfini korumak ve tespitten kaçınmak için birden fazla saldırı vektörünü birleştirerek anahtarlama teknolojisinde önemli bir evrimi temsil eder.
Tinkywinkey, hem gizliliği hem de etkinliği en üst düzeye çıkaran çift bileşenli bir mimari aracılığıyla çalışır.
Kötü amaçlı yazılım, veri yakalama ve izleme işlemlerinden sorumlu Winkey Keylogger bileşeninin yanı sıra kalıcılığı ve sistem entegrasyonunu yöneten bir Tinky hizmetinden oluşur.
Hizmet bileşeni, otomatik başlangıç yapılandırmasıyla meşru bir Windows hizmeti olarak kaydederek derin sistem entegrasyonu oluşturur.
Bu yaklaşım, her sistem önyükleme döngüsü sırasında kötü amaçlı yazılımın etkinleştirilmesini sağlar ve kullanıcı etkileşimi gerektirmeden sürekli çalışmayı sürdürür.
Hizmet Çalışanı iş parçacığı, özellikle etkin kullanıcı oturumu içinde yük yürütülebilir dosyasını başlatır ve kötü amaçlı yazılımların gündelik gözlem için görünmez kalırken uygun ayrıcalıklarla çalışmasını sağlar.
Gelişmiş veri toplama özellikleri
Tinkywinkey’i geleneksel anahtarlayıcılardan ayıran şey, kapsamlı sistem profilleme işlevselliğidir.
Kötü amaçlı yazılım, CPU özellikleri, bellek kapasitesi, işletim sistemi sürüm ayrıntıları ve ağ yapılandırma verileri dahil olmak üzere ayrıntılı donanım ve yazılım bilgilerini sistematik olarak toplar.
Daha sonra RTL_OSVersionInfow yapısını ana sürüm, küçük sürüm ve yapı numarası gibi ayrıntılarla doldurur.
Bu keşif aşaması, saldırganların kimlik bilgisi hasatına geçmeden önce hedef ortamı iyice anlamalarını sağlar.
Keylogging mekanizması, sistem çapında tüm tuş vuruşlarını kesen düşük seviyeli klavye kancaları kullanır.
Yalnızca standart alfanümerik girişi yakalayan temel anahtarlogerlerin aksine, Tinkywinkey birden fazla dil düzeninde özel anahtarları, işlev anahtarlarını, ortam kontrollerini ve Unicode karakterlerini doğru bir şekilde işler.
Kötü amaçlı yazılım, klavye düzeni değişikliklerini dinamik olarak izler ve kullanıcılar farklı diller veya giriş yöntemleri arasında geçiş yaparken doğru yakalamayı sağlar.
Tinkywinkey, kalıcılığı ve kaçırma tekniklerinde dikkate değer bir sofistike olduğunu göstermektedir.
Kötü amaçlı yazılım, yükünü güvenilir sistem işlemlerine gömmek için DLL enjeksiyonunu kullanır, özellikle de Explorer.exe’yi yasal sistem etkinliği ile harmanlamak için hedefler.
Bu enjeksiyon tekniği, hedef işlemde hassas bellek tahsisini ve ardından ana bilgisayar işlemini kötü amaçlı DLL yüklemeye zorlayan uzaktan iplik oluşturmayı içerir.
Kötü amaçlı yazılım, pencere odak değişikliklerini ve klavye olaylarını işleyen özel bir mesaj döngüsü aracılığıyla sürekli çalışmayı sürdürür.
Get_ram_info () işlevi, kurban makinesinin fiziksel belleği hakkında ayrıntıları toplar. Toplam sistem kaynaklarını sorgulamak için Windows API GlobalMemoryStatEx () ‘i kullanır.
Ön plan pencere geçişlerini izleyerek Tinkywinkey, yakalanan tuş vuruşlarını belirli uygulamalarla ilişkilendirerek, saldırganların mağdurların bankacılık portallarına, e -posta müşterilerine veya diğer hassas platformlara ne zaman eriştiğini belirlemelerini sağlıyor.
Veri Defiltrasyonu ve Depolama
Yakalanan tüm bilgiler sistematik olarak sistemin geçici dizinindeki UTF-8 kodlu günlük dosyalarında saklanır.
Hizmet, otomatik bir başlangıç türüyle yapılandırılır ve sistemin her boland’da hizmetin çağrılmasını sağlayarak kötü amaçlı yazılımların kalıcılık elde etmesini sağlar. Bu, Keylogger’ın kullanıcı etkileşimi gerektirmeden aktif kalmasını garanti eder.
Günlük mekanizması, genişletilmiş izleme sürelerinde veri kaybı olmasını sağlamak için Ek modu dosya işlemleri kullanır. Zaman damgaları, günlüğe kaydedilen tüm etkinliklere eşlik ederek saldırganlara kullanıcı etkinliği kalıplarının ayrıntılı zaman çizelgelerini sağlıyor.
Kötü amaçlı yazılımların tuş vuruşu verilerinin yanı sıra kapsamlı sistem meta verilerini yakalama yeteneği, çalınan bilgilerin değerini önemli ölçüde artırır.
Saldırganlar, sonraki saldırı aşamalarını planlamak veya tehlikeye atılan ağlardaki yüksek değerli hedefleri belirlemek için donanım özelliklerinden, ağ ayrıntılarından ve yazılım yapılandırmalarından yararlanabilir.
Tinkywinkey, özellikle geleneksel antivirüs çözümlerine dayanan kuruluşlar için uç nokta tehditlerinde bir evrimi temsil eder. Kötü amaçlı yazılımların hizmete dayalı kalıcılık modeli ve süreç enjeksiyon yetenekleri, birçok geleneksel algılama mekanizmasından kaçmasını sağlar.
24-25 Haziran’da, Tinkywinkey – yine başka bir Windows 10 Keylogger tanımlandı ve Fransa, Lyon’da bulunduğunu iddia eden bir kullanıcı tarafından yayınlandığına inanıldı.
Güvenlik ekipleri, olağandışı hizmet kayıtlarını, beklenmedik DLL yükleme modellerini ve geçici dizinlerde kalıcı dosya işlemlerini tanımlayan davranışsal izleme yaklaşımlarına öncelik vermelidir.
Şüpheli giden iletişim ve düşük seviyeli kanca kurulumlarını tanımlayabilen uç nokta algılama çözümleri için ağ izleme temel savunma önlemleridir.
Tinkywinkey’in ortaya çıkışı, modern kötü amaçlı yazılım tehditlerinin sürekli sofistike olmasının altını çiziyor. Kuruluşlar, geleneksel imza tabanlı tespiti ileri davranışsal analiz ve tehdit istihbarat entegrasyonu ile birleştiren kapsamlı güvenlik stratejilerini benimsemelidir.
Düzenli güvenlik farkındalığı eğitimi, uç nokta sertleştirmesi ve proaktif izleme, pencereler ortamlarını hedefleyen bu tür gelişmiş kalıcı tehditlere karşı etkili savunmanın kritik bileşenleri olmaya devam etmektedir.
IOC
| Gösterge | Tip | Notlar |
|---|---|---|
| Fe6a696e7012696f2e94a4d31b2f076f32c71d44c3cec69a698ef0b81838a | SHA256 | svc.exe |
| 7834a64c39f85db5f073d76ddb453c5e23ad1824472d6853986934b750259fd | SHA256 | winkey.exe |
| EB6752E6017019E4CE4D5DE72FB539F80732771E1A668865AAC1EEEEEEE2C01D93 | SHA256 | Keylogger.dll |
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.