QuirkyLoader: Yeni Malware Tehdidi
Siber güvenlik alanındaki araştırmacılar, QuirkyLoader adını verdikleri yeni bir malware loader hakkında bilgilere ulaşmışlardır. Bu yazılım, 2024 yılının Kasım ayından bu yana, e-posta spam kampanyaları aracılığıyla çeşitli sonraki yüklerden oluşan payload’lar dağıtmak için kullanılmaktadır. QuirkyLoader üzerinden dağıtılan malware aileleri arasında Agent Tesla, AsyncRAT, Formbook, Masslogger, Remcos RAT, Rhadamanthys Stealer ve Snake Keylogger yer almaktadır.
IBM X-Force tarafından yapılan açıklamalara göre, bu saldırılar hem itibarlı e-posta servis sağlayıcılarından hem de kendi barındırdıkları e-posta sunucusundan saldırganlar tarafından gerçekleştirilmektedir. Spam e-postalarda yer alan kötü niyetli arşivler, DLL, şifreli bir payload ve gerçek bir çalıştırılabilir dosya içermektedir.
DLL Yan Yüklemesi ve Süreç Boşaltma
Güvenlik araştırmacısı Raymond Joseph Alfonso, saldırganların DLL yan yüklemesi tekniğini kullandığını belirtmektedir. Bu teknik, meşru bir çalıştırılabilir dosyanın başlatılmasıyla birlikte kötü niyetli DLL dosyasının da yüklenmesini sağlamaktadır. Bu DLL, nihai payload’u deşifre eder ve hedef süreçte enjekte eder. Malware, üç süreçten birine enjekte edilmekte: AddInProcess32.exe, InstallUtil.exe veya aspnet_wp.exe.
IBM’e göre, bu DLL loader son birkaç ay içinde sınırlı kampanyalarda kullanılmıştır. Örneğin, Temmuz 2025’te Tayvan ve Meksika’yı hedef alan iki kampanya gözlemlenmiştir. Tayvan’daki kampanya, Nusoft Taiwan çalışanlarını hedef alarak Snake Keylogger ile enfekte etme amacı taşımaktadır. Bu yazılım, popüler web tarayıcılarından hassas bilgileri, tuş vuruşlarını ve pano içeriğini çalabilme kapasitesine sahiptir.
Meksika ile ilgili kampanya ise daha rastgele değerlendirilmekte ve enfeksiyon zincirlerinin Remcos RAT ve AsyncRAT dağıttığı gözlemlenmektedir. Alfonso, saldırganların DLL loader modülünü genellikle .NET dillerinde yazdığı ve çalışmadan önce kodu yerel makine koduna dönüştüren ahead-of-time (AOT) derlemesi yaptığını ifade etmektedir.
Yeni Phishing Trendleri
Saldırganlar, gelişen yeni phishing teknikleri ile dikkat çekmektedir. Bu teknikler arasında, kötü niyetli QR kodlarını iki parçaya ayırmak veya onları meşru QR kodlarının içine gömmek yer almakta. Bu yöntemler, Gabagool ve Tycoon gibi phishing kitler aracılığıyla kullanılarak tespit edilmeyi önlemek amacıyla uygulanmaktadır. Barracuda araştırmacısı Rohit Suresh Kanase, kötü niyetli QR kodlarının saldırganlar arasında popüler olmasının sebeplerini şu şekilde açıklamaktadır: “İnsanlar tarafından okunamadıkları için dikkat çekmezler ve geleneksel güvenlik önlemlerini, örneğin e-posta filtreleri ve bağlantı tarayıcılarını geçebilirler.”
Saldırganlar, QR kodlarını taramak için alıcıların genellikle mobil cihazlarına geçmesi gerektiğinden, bu durum kullanıcıları şirketin güvenlik çevrelerinden uzaklaştırmakta ve korumadan mahrum bırakmaktadır.
Bu bulgular, PoisonSeed tehdit aktörünün kullandığı bir phishing kitinin ortaya çıkmasının ardından gelmektedir. Bu kit, bireylerden ve kuruluşlardan kimlik bilgileri ile iki faktörlü kimlik doğrulama (2FA) kodlarını elde ederek kurbanların hesaplarına erişim sağlamayı hedeflemektedir. NVISO Labs, bu phishing kitinin, Google, SendGrid, Mailchimp gibi önde gelen CRM ve toplu e-posta şirketlerinin oturum açma hizmetlerini taklit ettiğini belirtmektedir.
Hedefli Phishing ve Yaklaşan Tehditler
PoisonSeed, kötü niyetli bağlantılar içeren hedefli e-postalar kullanarak bireyleri phishing kitine yönlendirmektedir. Precision-validated phishing adı verilen bir teknik kullanarak, saldırgan arka planda bir e-posta adresini gerçek zamanlı olarak doğrulamakta ve kullanıcıya sahte bir Cloudflare Turnstile zorluğu sunmaktadır. Kontroller geçildikten sonra, meşru çevrimiçi platformu taklit eden bir giriş formu ortaya çıkmaktadır. Bu sayede, saldırganlar gönderilen kimlik bilgilerini ele geçirerek hizmete aktarmaktadır.
Siber güvenlik alanındaki gelişmeler, dijital çağda karşılaştığımız tehditlerin ne kadar karmaşık ve gelişmiş hale geldiğini açıkça göstermektedir. QuirkyLoader ve yeni phishing teknikleri, tehdit aktörlerinin ne denli yaratıcı ve çeşitli yöntemler kullanarak siber saldırılar gerçekleştirdiğinin kanıtıdır. Bu durum, hem bireylerin hem de kuruluşların siber güvenlik stratejilerini sürekli olarak güncellemeleri gerektiğini vurgulamaktadır. değerini kaybetmemek için kullanıcıların dikkatli olması son derece önemlidir.
