OXLOADER Kötü Amaçlı Yazılımı
Siber güvenlik araştırmacıları, daha önce belgelenmemiş OXLOADER adlı bir kötü amaçlı yazılım yükleyicisini kullanarak bilgi hırsızlığı yapan CastleStealer adlı kötü amaçlı yazılımı dağıtan REF8372 olarak adlandırılan yeni bir kötü amaçlı yazılım kampanyasını ortaya çıkardı.
Operasyon, popüler yazılımları arayan kurbanları tuzağa düşürmek için tasarlanmış kötü amaçlı Google reklamlarıyla başlıyor. Analizler, kampanyanın arkasındaki tehdit aktörlerinin büyük olasılıkla Rusça konuşan ve finansal motivasyonlu kişiler olduğunu gösteriyor. Bu değerlendirme, kötü amaçlı yazılımın Bağımsız Devletler Topluluğu (BDT) içindeki sistemleri kasıtlı olarak dışlamasına dayanıyor; bu, bölgede faaliyet gösteren siber suç grupları tarafından sıklıkla kullanılan bir taktiktir.
Kampanyanın reklamları, Ukrayna merkezli olduğu iddia edilen 'ВОЛОДИМИР ТЕРЕЩЕНКО' doğrulanmış isim altında yayınlanmış olsa da, bu kimliğin operatörlerin kendilerine mi ait olduğu yoksa ele geçirilmiş, satın alınmış veya uydurulmuş bir hesap mı olduğu belirsizliğini koruyor. Google, reklamveren hesabını ve ilgili kampanyaları 14 Mayıs 2026'da kaldırdı.
İçindekiler
Arama motoru manipülasyonu, mağdurları sahte yazılım sitelerine yönlendiriyor.
Bulaşma zinciri, kullanıcıların Google gibi arama motorlarında 'node.js'nin lts sürümü' gibi terimler aramasıyla tetiklenir. Kurbanlar, sponsorlu sonuçlar aracılığıyla meşru bir yazılım kaynağı gibi görünen sahte bir web sitesi olan node-js.prentiva99.info adresine yönlendirilir.
Sahte web sitesiyle etkileşim kuran kullanıcılardan, merkezi olmayan ve açık kaynaklı bir bulut depolama platformu olan Storj'da barındırılan bir toplu işlem dosyasını indirmeleri isteniyor. Storj gibi meşru hizmetlerin kötüye kullanılması, alan adı itibarı ve güvenlik filtreleme mekanizmalarını atlatmak için giderek daha fazla güvenilir platformlara güvenen tehdit aktörleri arasında artan bir eğilimi vurguluyor.
Çok Aşamalı Enfeksiyon Zinciri Kötü Niyetli Faaliyetleri Gizliyor
İndirilen toplu işlem dosyasının çalıştırılması, sahte bir kurulum sihirbazı görüntüleyerek meşru bir yazılım kurulumu izlenimi yaratırken, gizlice bir sonraki aşama zararlı yazılımı olan OXLOADER'ı Storj'dan indirir. Zararlı yazılım, bir PowerShell komutu aracılığıyla alınır ve -Verb RunAs parametresiyle başlatılarak bir Windows Kullanıcı Hesabı Kontrolü (UAC) istemi oluşturulur.
Saldırı daha sonra DLL yan yükleme tekniklerini kullanarak kötü amaçlı bir dinamik bağlantı kütüphanesini çalıştırır; bu kütüphane şifresini çözerek son zararlı yazılım olan CastleStealer'ı başlatır.
Gelişmiş Kaçınma Teknikleri Tespit Zorluklarını Artırıyor
OXLOADER, analizleri engellemek ve tespit edilmekten kaçınmak için özel olarak tasarlanmış çeşitli gelişmiş teknikler içermektedir:
- Kontrol akışı düzleştirme, opak önermeler ve karma Boolean-aritmetik teknikleri de dahil olmak üzere çoklu gizleme katmanları.
- Kendini değiştiren şifre çözme rutinleri, shellcode hazırlama için Windows .reloc bölümünün kötüye kullanımı ve sanallaştırılmış analiz ortamlarında yürütmeyi engelleyen anti-sandbox mekanizmaları.
Bu yetenekler, hem statik hem de dinamik algılama mekanizmalarından kaçınmaya yönelik kasıtlı ve iyi tasarlanmış bir yaklaşımı göstermektedir.
CastleStealer’ın Siber Suç Operasyonlarındaki Artan Varlığı
CastleStealer, son zamanlarda ek kampanyalarda ortaya çıkan, .NET tabanlı bir bilgi hırsızlığı kötü amaçlı yazılım ailesidir. Daha önce, BackgroundFix olarak bilinen bir operasyonda, ücretsiz bir resim düzenleme uygulaması gibi görünen ClickFix tarzı bir sosyal mühendislik tuzağı aracılığıyla CastleLoader ile birlikte dağıtılmıştı. CastleLoader, GrayBravo olarak izlenen tehdit etkinliği kümesiyle bağlantılıdır.
Erken Aşamadaki, Önemli Potansiyele Sahip Tehdit
OXLOADER operasyonel konuşlandırmanın henüz erken aşamalarında gibi görünse de, teknik gelişmişliği savunmacıların yakından takip etmesini gerektiriyor. Birkaç özelliği, geliştiricileri tarafından önemli bir yatırım yapıldığını gösteriyor:
- Kapsamlı kod gizleme ve sanal makine karşıtı korumalar.
- Zararlı ikili dosyaları gizlemek için zararsız görünümlü kod kullanımı ve benzersiz zararlı yazılım yerleştirme teknikleri.
Bu tasarım tercihleri halihazırda etkili olduğunu kanıtlamış olup, OXLOADER'ın statik tarama motorlarında ve otomatik patlatma ortamlarında düşük tespit oranlarına ulaşmasını sağlamıştır. Sonuç olarak, kötü amaçlı yazılım, yaygın tespit imzaları ve karşı önlemler geliştirilmeden önce değerli bir operasyonel zaman diliminden yararlanmaktadır.