Phishing ZIP Dosyalarıyla Başlayan Saldırı Zinciri
Seqrite Labs’in analizine göre, saldırı zinciri phishing e-postalarıyla dağıtılan ZIP arşivleri üzerinden tetikleniyor. 3 Ekim 2025 tarihinde VirusTotal’a yüklenen örnek, içinde Rusça gelir vergisi mevzuatıyla ilgili sahte bir belge ve Windows kısayol (LNK) dosyası barındırıyor.
.NET Implantı ve Living-off-the-Land Tekniği
LNK dosyası, ZIP arşivinin adıyla eşleşiyor ve “adobe.dll” adlı .NET implantını yürütmek için kullanılıyor. Bu işlem, meşru Microsoft ikili dosyası “rundll32.exe” üzerinden gerçekleştiriliyor; böylece tehdit aktörleri living-off-the-land (LotL) taktiğini uyguluyor.
Gelişmiş Fonksiyonlar ve Uzaktan Komut Alma
Arka kapı, yönetici ayrıcalıkları kontrolü, yüklü antivirüs ürünlerinin listelenmesi ve sahte belgeyi açarak dikkat dağıtma gibi işlevlere sahip. Ayrıca, “91.223.75[.]96” IP adresindeki uzak sunucuya bağlanarak ek komutları alıyor. Bu komutlar, Google Chrome, Microsoft Edge ve Mozilla Firefox gibi popüler tarayıcılardan veri çalma, ekran görüntüsü alma, sistem bilgisi toplama ve klasör içeriklerini listeleyip sonuçları sunucuya gönderme gibi yetenekleri içeriyor.
Kalıcı ve Gizli Operasyonlar İçin İki Yöntem
Arka kapı, gerçek bir ana bilgisayar mı yoksa sanal makine mi olduğunu belirlemek için kapsamlı kontroller yapıyor. Kalıcılık sağlamak amacıyla planlanmış görev oluşturuyor ve Windows Başlangıç klasöründe arka kapı DLL’sini otomatik başlatmak için LNK dosyası oluşturuyor. DLL dosyası Windows Roaming klasörüne kopyalanıyor.
Rus Otomotiv Sektörüne Yönelik Hedefleme
Seqrite’in değerlendirmesine göre, tehdit aktörleri Rus otomotiv sektörünü hedefliyor. Kampanyayla ilişkili alan adlarından biri, meşru “carprice[.]ru” sitesini taklit eden “carprlce[.]ru” olarak tespit edildi. Araştırmacılar Priya Patel ve Subhajeet Singha, kötü amaçlı yükün .NET DLL formatında olduğunu, veri çalma işlevi gördüğünü ve gelecekteki kötü amaçlı faaliyetler için kalıcılık sağladığını belirtti.