Cracked Yazılımlar ve GachiLoader Tehlikesi
Son zamanlarda, siber güvenlik uzmanları, cracked yazılımlar üzerinden yayılan ve “CountLoader” adı verilen yeni bir malware kampanyasının detaylarını açıkladı. Bu malware, çok aşamalı bir saldırıda ilk araç olarak kullanılıyor ve ek malware ailelerinin ulaşımını sağlama amacı güdüyor.
CountLoader, daha önce Fortinet ve Silent Push tarafından belgelenmiş olup, Cobalt Strike, AdaptixC2 gibi çeşitli kötü amaçlı yazılımları yükleme yeteneğine sahiptir. En son versiyonu, kullanıcıların dikkatini çekmeden çalışabilme becerisiyle dikkat çekiyor.
Nasıl Çalışıyor?
Saldırı zinciri, kullanıcılara sahte bir Microsoft Word sürümü indirmeye çalıştıklarında başlıyor. Bu süreçte, kullanıcılar MediaFire bağlantısına yönlendiriliyor ve burada kötü amaçlı bir ZIP arşivine erişiyorlar. Arşiv içinde, şifreli bir ZIP dosyası ve ikinci arşivi açmak için kullanılacak bir Microsoft Word belgesi bulunuyor. ZIP dosyası, kötü amaçlı bir komut çalıştıracak şekilde yapılandırılmış bir Python yorumlayıcısını içeriyor.
Malware, Google taklidi yaparak “GoogleTaskSystem136.0.7023.12” isminde bir görev oluşturup, her 30 dakikada bir “mshta.exe” ile çalışacak şekilde ayarlanıyor. Ayrıca, CrowdStrike Falcon güvenlik aracının varlığını kontrol ediyor ve gerektiğinde varlığını değiştirebilmek için komutları değiştiriyor.
CountLoader’ın Özellikleri
CountLoader, hedef bilgisayarı profil çıkarmak ve sonraki aşama yükünü indirmek için kullanılıyor. Yeni versiyonu, removable USB sürücüler üzerinden yayılma yeteneği kazandı. İşte sunduğu bazı özellikler:
– Belirtilen bir URL’den executable indirme ve çalıştırma
– Python tabanlı modül veya bir EXE dosyası içeren ZIP arşivlerini çalıştırma
– DLL indirme ve çalıştırma
– Sistem bilgilerini toplama ve sızdırma
Bu sürecin sonunda, CountLoader tarafından dağıtılan son yük ise ACR Stealer olarak bilinen bir bilgi çalıcısıdır.
YouTube Ghost Ağı ve GachiLoader
Bir diğer tehlike ise GachiLoader, aslında bir Node.js yazılımı olarak tanımlanan ve YouTube üzerinden dağıtılan bir malware’dir. Bu malware, compromised YouTube hesapları aracılığıyla yayılıyor. Araştırmalar, yaklaşık 100 videonun bu kampanyanın parçası olarak işaretlendiğini ortaya çıkardı. Videolar, toplamda yaklaşık 220.000 izlenme aldı.
GachiLoader, yalnızca kötü amaçlı yazılımlar yüklemekle kalmaz, aynı zamanda çeşitli anti-analiz kontrolleri yaparak fark edilmekten kaçınıyor. Örneğin, “net session” komutunu kullanarak çalıştığı ortamın yükseltilmiş olup olmadığını kontrol ediyor.
Kötü Amaçlı Yazılımların Etkileri ve Sonuçları
GachiLoader, yükleme aşamasında, Microsoft Defender tarafından algılandığında kendisini gizlemek için birkaç önlem alıyor. Süreç içinde, Defender ile ilişkili “SecHealthUI.exe” işlemini sonlandırıyor ve belirli klasörlerdeki kötü amaçlı yüklere karşı dışlama ayarları yapıyor.
Her iki malware türü de, bu tür yazılımlara karşı savunmasız hale gelen kullanıcılar için ciddi tehditler oluşturuyor. Kullanıcıların cracked yazılım arayışında olmaları, onların bu tür zararlı yazılımlara daha da yakınlaşmalarına neden oluyor. Bu bağlamda, proaktif koruma ve katmanlı savunma stratejilerinin uygulanması büyük önem arz ediyor.
Sonuç olarak, hem CountLoader hem de GachiLoader, gün geçtikçe daha sofistike hale gelen ve kullanıcıların verilerini tehdit eden araçlar olarak bilinmektedir. Bu nedenle, kullanıcıların güvenlik önlemlerini artırmaları ve dikkatli olmaları büyük önem taşımaktadır.
