Gelişen Siber Tehditler : Winos 4.0 Malware Kampanyası
Son yıllarda siber güvenlik alanında yaşanan olaylar, dijital dünyada karşılaşabileceğimiz tehditlerin ne denli karmaşık ve tehlikeli olabileceğini gözler önüne seriyor. 2025 yılı itibarıyla, Rapid7 tarafından tespit edilen bir malware kampanyası, popüler yazılımlar gibi görünen sahte kurulum dosyalarını kullanarak Winos 4.0 çerçevesini dağıtıyor. Bu tür tehditler, özellikle Çince konuşan bölgelerde etkili bir şekilde faaliyet göstermekte.
Catena: Çok Aşamalı Yükleyici
Bu kampanyanın merkezinde, Catena ismi verilen bir çok aşamalı yükleyici yer alıyor. Geliştiricileri, Catena’nın hafızada istifleme yaparak kötü niyetli yazılımları etkinleştirdiğini ve geleneksel antivirüs araçlarını atlatabildiğini belirtmektedir. Güvenlik araştırmacıları Anna Širokova ve Ivan Feigl, "Catena, gömülü shellcode ve konfigürasyon değiştirme mantığı ile Winos 4.0 gibi payload’ları tamamen hafızada sahnelemektedir" ifadelerini kullanıyor.
Bir kez yüklendiğinde, bu kötü amaçlı yazılım, çoğunlukla Hong Kong‘da barındırılan saldırgan kontrolündeki sunucularla gizlice bağlantı kurarak ek talimatlar veya başka zararlı yazılımlar almaktadır.
Winos 4.0 ve Geçmişi
Winos 4.0, diğer adıyla ValleyRAT, ilk olarak Trend Micro tarafından Haziran 2024’te tanıtılmıştır. Geçmişteki saldırılar, Çin konuşan kullanıcıları hedef alarak kötü niyetli Windows Installer (MSI) dosyaları ile gerçekleştirilmiştir. Bu etkinlikler, şirketin "Void Arachne" olarak izlediği bir tehdit grubuna atfedilmektedir. Winos 4.0, mevcut bir uzaktan erişim trojanı olan Gh0st RAT temelinde geliştirilmiş ve kullanıcı verilerini toplamak, uzaktan shell erişimi sağlamak ve dağıtılmış hizmet reddi (DDoS) saldırıları başlatmak amacıyla kullanılmaktadır.
Oyun Tabanlı Yükleme Araçları ile Dağıtım
Winos 4.0, kullanıcıları kandırarak daha birçok farklı kötü amaçlı uygulama aracılığıyla dağıtılmaktadır. Oyun ile ilgili uygulamalar, kurulum araçları ve hız artırıcı yazılımlar, kullanıcıları bu tür zararlı yazılımları indirmeye teşvik eden sık kullanılan yöntemlerdir. 2025 yılının Şubat ayında gerçekleşen bir başka saldırı dalgası, Tayvan‘da kurbanların Ulusal Vergi Dairesi‘nden geldiği iddia edilen dolandırıcılık e-postaları aracılığıyla hedef alınmasıyla gözlemlenmiştir.
QQ Browser ile Enfeksiyon Akışı
Rapid7, Şubat 2025’te tespit ettiği tüm kötü amaçlı yazılımların, QQ Browser için sahte bir NSIS kurulum dosyası kullanarak Winos 4.0’ı dağıttığını bildirmiştir. Bu süreç, kurbanların sisteminde sürekli olarak varlıklarını korumak ve tespit edilmekten kaçınmak amacıyla reflektif DLL enjekte etme gibi teknikleri içermektedir. Enfeksiyon zinciri Catena olarak adlandırılmıştır.
Araştırmacılar, kampanyanın sürekli olarak 2025 yılı boyunca aktif olduğunu ve bazı taktiksel ayarlamalarla istikrarlı bir enfeksiyon zinciri gözlemlediğini belirtmektedir. İlk adım, QQ Browser için sahte bir yükleyici kullanan trojanized bir NSIS kurulumudur. Winos 4.0, Catena aracılığıyla dağıtılmakta ve TCP port 18856 ile HTTPS port 443 üzerinden komut ve kontrol sunucularıyla iletişim kurmaktadır.
LetsVPN Yükleyicisinden Winos 4.0’a Geçiş
Bu kötü amaçlı yazılım, kurbanın bilgisayarında belirli takvim görevleri kaydederek ikamet etmektedir. İlk uzaktan erişim, C: ile Z: arasındaki tüm sürüler için Microsoft Defender hariç tutmaları ekleyen bir PowerShell komutu çalıştırılmak suretiyle sağlanır. 360 Total Security gibi belirli bir antivirüs ürünüyle ilgili süreçleri tespit eden bir yürütülebilir dosya, sistemdeki süreçleri gözlemlemek için sahte bir sertifika ile imzalanmıştır.
Bu değişiklikler, yazılımın güvenlik yazılımlarına karşı savunmasızlığı artırmak amacıyla yapıldığı izlenimini vermektedir. Rapid7, kampanyanın, trojanized NSIS yükleyicileri kullanarak Winos 4.0 düşürmeye yönelik iyi organize edilmiş, bölgesel olarak odaklanmış bir operasyon olduğunu vurgulamıştır.
Sonuç
Siber güvenlik alanındaki bu tür gelişmeler, kullanıcıları ve kurumları daha dikkatli olmaya teşvik etmektedir. Dijital dünyada her zaman güvenlik açıklarına ve tehditlere karşı hazırlıklı olmak, hem bireyler hem de işletmeler için hayati öneme sahiptir. Eğitim ve farkındalık, özellikle günümüzde son derece önemli hale gelmiştir.
