Fortinet FortiGuard Labs araştırmacısı Pei Han Liao, saldırganların SEO teknikleriyle arama motoru sıralamalarını manipüle ederek, meşru yazılım sitelerine çok benzeyen alan adları kaydettiklerini açıkladı. Bu yöntemle kurbanlar sahte sayfalara yönlendirilip zararlı yazılım indirmeye ikna ediliyor.
Ağustos 2025’te keşfedilen bu saldırı kampanyası, HiddenGh0st ve Winos (ValleyRAT) gibi Gh0st RAT varyantlarını dağıtıyor. Winos, Silver Fox adlı siber suç grubuna atfediliyor ve bu grup 2022’den beri aktif.
SEO Manipülasyonu ve Çok Aşamalı Yükleyici Zinciri
Fortinet’in raporuna göre, kullanıcılar DeepL Translate, Google Chrome, Signal, Telegram, WhatsApp ve WPS Office gibi popüler araçları aradıklarında, sahte sitelere yönlendirilip trojanlaştırılmış yükleyicilerle enfekte oluyorlar. “nice.js” adlı betik, JSON tabanlı çok aşamalı bir indirme zinciri yönetiyor ve zararlı yükleyicinin son URL’sine erişim sağlıyor.
Yükleyicideki “EnumW.dll” anti-analiz teknikleri kullanıyor; örneğin, performansı düşürmek için “vstdlib.dll” adlı başka bir DLL çıkarılıyor. İkinci DLL, hedefte 360 Total Security antivirüsünü kontrol ediyor ve varsa TypeLib COM kaçırma yöntemiyle kalıcılık sağlıyor. Antivirüs yoksa, Windows kısayolu ile kalıcılık sağlanıyor.
Zararlı DLL’in İşlevleri ve C2 İletişimi
“AIDE.dll” adlı DLL üç temel işlevi yerine getiriyor: şifreli Komut ve Kontrol (C2) iletişimi, sistem ve süreç verilerinin toplanması, kullanıcı etkinliğinin izlenmesi ve kalıcılığın doğrulanması. C2 modülü ek eklentiler indiriyor, tuş vuruşlarını ve pano verilerini kaydediyor, ayrıca Ethereum ve Tether cüzdanlarını hedef alıyor.
kkRAT ve Çinli Siber Suç Grubunun Yeni Kampanyası
Zscaler ThreatLabz, Mayıs 2025’ten beri Çinli kullanıcıları hedef alan ve kkRAT, Winos ile FatalRAT’ı birlikte kullanan yeni bir kampanyayı ortaya koydu. kkRAT, Gh0st RAT ve Big Bad Wolf grubuyla kod benzerlikleri taşıyor. Pano manipülasyonu, kripto adresi değiştirme ve uzaktan izleme araçları dağıtımı gibi gelişmiş özelliklere sahip.
Saldırganlar, DingTalk gibi popüler yazılımları taklit eden sahte yükleyici sayfaları GitHub üzerinde barındırarak meşru platformların güvenini kötüye kullanıyor. Yükleyiciler sandbox ve sanal makineleri tespit ediyor, yönetici hakları talep ediyor ve antivirüs süreçlerini sonlandırıyor.
BYOVD Tekniği ve Antivirüs Engelleme
Zararlı yazılım, RealBlindingEDR açık kaynak kodundan yararlanarak Bring Your Own Vulnerable Driver (BYOVD) tekniği ile antivirüsleri devre dışı bırakıyor. Özellikle 360 Internet Security, HeroBravo, Kingsoft ve QQ电脑管家 gibi programları hedef alıyor. Sonrasında SYSTEM ayrıcalıklarıyla zamanlanmış görevler ve batch betikleri oluşturuyor.
Downloader ve Zararlı Yük
Yükleyici, sabit kodlu URL’den “2025.bin” adlı obfuscate edilmiş shellcode’u indiriyor. Bu shellcode, iki farklı ZIP arşivi (trx38.zip ve p.zip) indiriyor. trx38.zip meşru bir yürütülebilir dosya ve zararlı DLL içeriyor; p.zip ise şifrelenmiş son yükü barındırıyor. Zararlı DLL, longlq.cl dosyasından şifre çözerek yükü çalıştırıyor.
kkRAT’ın Fonksiyonları ve Eklentileri
kkRAT, ekran görüntüsü alma, klavye ve fare hareketlerini simüle etme, pano verilerini değiştirme, uzaktan masaüstü erişimi sağlama, aktif süreçleri yönetme ve SOCKS5 protokolü üzerinden veri yönlendirme gibi kapsamlı yeteneklere sahip. Ayrıca, GotoHTTP ve Sunlogin gibi RMM araçlarını dağıtıyor ve kripto para cüzdan adreslerini pano kaçırma yoluyla değiştiriyor.
Bu gelişmeler, yazılım indirirken alan adlarının dikkatle incelenmesi ve güvenilir kaynakların tercih edilmesinin önemini bir kez daha ortaya koyuyor.