Giriş
Son dönemlerde siber tehditler arasında yer alan yeni bir kampanya, “ClickFix” sosyal mühendislik taktiğini kullanarak daha önce belgelenmemiş bir malware yükleyicisi olan DeepLoad‘ı yayma çabası içindedir. Bu durum, kullanıcıların güvenliğini tehdit eden sofistike bir teknik uygulamanın varlığını gözler önüne sermektedir.
Saldırı Nasıl Çalışıyor?
DeepLoad’un saldırı zincirinin başlangıcı, kullanıcıları sahte bir sorun çözümü bahanesiyle PowerShell komutları çalıştırmaya ikna eden bir “ClickFix” tuzağıdır. Bu durum, “mshta.exe” adlı geçerli bir Windows aracını kullanarak obfuscate edilmiş bir PowerShell yükleyicisini indirip çalıştırmasına olanak tanımaktadır.
Verilen komutlar arasında, zararlı yazılımın gerçek işlevselliğini gizlemek için anlamsız değişken atamaları kullanarak güvenlik araçlarını kandırmayı hedeflediği değerlendirilmektedir. Araştırmalar, tehdit aktörlerinin obfuscation katmanını geliştirmek için bir yapay zeka (AI) aracını kullandığını belirtmektedir.
Etkilenen Sistemler
DeepLoad, kullanıcıların sistemlerinde detaylı bir şekilde gizlenmektedir. Hedef sistemde, yükleyici “LockAppHost.exe” adlı geçerli bir Windows süreci içinde gizlenmektedir.
Ayrıca, zararlı yazılım kendi izlerini kapatmak için PowerShell komut geçmişini devre dışı bırakmakta ve hafıza üzerinde doğrudan işlemleri başlatmakta, bu sayede standart izleme mekanizmalarını atlatmaktadır. DeepLoad, dosya tabanlı tespitlerden kaçınmak için PowerShell’in yerleşik özelliği “Add-Type” kullanarak, C# ile yazılmış kodları derleyip çalıştırarak geçici bir Dinamik Bağlantı Kütüphanesi (DLL) dosyası oluşturmaktadır.
Bu teknik, zararlı yazılımın her çalıştırıldığında rasgele bir dosya adıyla yeniden derlenmesi sayesinde, dosya adı tabanlı tespitlerden kaçınmasını sağlar.
Çözüm ve Korunma
DeepLoad’un savunma mekanizmalarını atlatmak için kullandığı bir diğer taktik, asynchronous procedure call (APC) injection tekniğidir. Bu yöntem, ana yükü bir güvenilir Windows süreci içinde çalıştırarak içeriğini diske yazmadan yüklemeyi amaçlamaktadır.
Ayrıca, zararlı yazılım; tarayıcı şifrelerini çalarak kimlik avı işlemlerini hızlandırmakta ve kullanıcının oturumları boyunca kalıcı bir şekilde müsaade edilmediği sürece kötü niyetli bir tarayıcı uzantısını kullanıcı sistemine bırakmaktadır.
Zararlı yazılım, USB sürücüler gibi taşınabilir depolama aygıtlarının bağlandığını algılayarak, “ChromeSetup.lnk”, “Firefox Installer.lnk” ve “AnyDesk.lnk” gibi isimlerle kötü niyetli dosyalar kopyalamaktadır. Üç gün sonra, Windows Yönetim Araçları (WMI) kullanarak, kullanıcı müdahalesi olmaksızın temiz bir sistemi virüsle yeniden enfekte etme yeteneğine sahiptir.
Sonuç
Kullanıcıların bu tür tehditlere karşı savunmalarını güçlendirmek için derhal güncellemeler yapmaları ve aşağıdaki önlemleri almaları gerekmektedir:
- Antivirüs yazılımlarını güncelleyin ve tam sistem taraması gerçekleştirin.
- PowerShell kullanımlarını sınırlayın ve sadece güvenilir kaynaklardan komut çalıştırılmasına izin verin.
- Tarayıcı uzantılarını kontrol edin ve şüpheli olanları kaldırın.
- USB sürücülerinin kullanımını dikkatlice yönetin ve bilinmeyen kaynaklarla bağlantıyı kesin.
- WMI politikalarını gözden geçirin ve izleme yollarını güçlendirin.
Bu adımlar, kullanıcıların karşı karşıya kaldığı tehditleri azaltmaya ve güvenliklerini artırmaya yardımcı olacaktır.
