- Sahte Windows güncellemeleri, şifrelenmiş PNG görüntülerinin içine gizlenmiş gelişmiş kötü amaçlı yazılımlar sunar
- Bilgisayar korsanları, kötü amaçlı komutları gizlice yürüten güncelleme ekranlarıyla kurbanları kandırıyor
- Stego Loader, C# rutinlerini kullanarak tehlikeli yükleri tamamen bellekte yeniden yapılandırır
Bilgisayar korsanları, karmaşık kötü amaçlı yazılımları sosyal mühendislik taktikleri yoluyla dağıtmak için giderek daha fazla sahte Windows Güncelleme ekranları kullanıyor.
ClickFix saldırıları, tam ekrandaki meşru güncelleme istemlerini taklit ederek kullanıcıları Windows’ta komut yürütmeye ikna eder web tarayıcısı Avcı araştırmacıları Ben Folland ve Anna Pham sayfalarda buldu.
Uzmanlar rapor edildi Bazı durumlarda saldırganlar, kurbanlara belirli tuşlara basma talimatı veriyor ve bu tuşlar, kötü amaçlı komutların otomatik olarak Windows Çalıştır kutusuna yapıştırılmasını sağlıyor.
Steganografi ve çok aşamalı yükler
Bu komutlar daha sonra kötü amaçlı yazılımların yürütülmesini tetikleyerek standart sistem korumalarını atlıyor ve hem bireysel hem de kurumsal sistemleri etkiliyor.
Kötü amaçlı yazılım yükleri PNG görüntülerinin içinde steganografi kullanılarak gizlenir, AES ile şifrelenir ve Stego Loader adı verilen bir .NET derlemesi tarafından yeniden oluşturulur.
Bu yükleyici, özel C# rutinlerini kullanarak kabuk kodunu çıkarır ve Donut aracıyla yeniden paketleyerek VBScript, JScript, EXE, DLL dosyalarının ve .NET derlemelerinin tamamen bellekte yürütülmesine olanak tanır.
Analistler, ortaya çıkan kötü amaçlı yazılımın LummaC2 ve Rhadamanthys’in varyantları olduğunu belirledi.
Bu saldırılarda steganografinin kullanılması, kötü amaçlı yazılım dağıtımının geleneksel yürütülebilir dosyaların ötesine geçerek tehdit algılama ve olay müdahale ekipleri için yeni bir zorluk oluşturduğunu gösteriyor.
Saldırganlar ayrıca analizi zorlaştırmak için binlerce boş işlevi çağıran ctrampolin gibi dinamik kaçınma taktiklerini de uygular.
Sahte Windows Güncelleme cazibesini kullanan bir varyant Ekim 2025’te tespit edildi ve kolluk kuvvetleri, Kasım ayında Endgame Operasyonu aracılığıyla altyapısının bir kısmını kesintiye uğrattı.
Bu, sahte güncelleme sayfaları etkin kalsa da, son verinin kötü amaçlı alanlar aracılığıyla iletilmesini engelledi.
Saldırılar, kullanıcıları komutları yürütmeye kandırmak için insan doğrulama istemleri ve güncelleme animasyonları arasında geçiş yaparak gelişmeye devam ediyor.
Araştırmacılar, explorer.exe’nin mshta.exe veya PowerShell’i oluşturması gibi şüpheli etkinlikler için süreç zincirlerinin izlenmesini öneriyor.
Araştırmacılar ayrıca yürütülen komutlar için RunMRU kayıt defteri anahtarını da inceleyebilir.
Organizasyonların birleşmesi tavsiye ediliyor kötü amaçlı yazılım temizleme ile uygulamalar antivirüs tarama ve güvenlik duvarı koruması Maruziyeti sınırlamak için.
Mümkün olduğunda Windows Çalıştır kutusunun devre dışı bırakılması ve görüntü tabanlı yüklerin dikkatle incelenmesi önerilen ek önlemlerdir.
Kuruluşların, görüntüler ve komut dosyaları gibi yasal görünen varlıkların silah haline getirilmesinden kaynaklanan ve günlüğe kaydetmeyi, izlemeyi ve adli analizleri zorlaştıran riskleri hesaba katması gerekir.
Bu aynı zamanda tedarik zinciri güvenliği ve saldırganların giriş noktaları olarak güvenilir güncelleme mekanizmalarından yararlanma potansiyeli hakkındaki endişeleri de artırıyor.
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.