Siber Güvenlik, Tehdit Analizi

TamperedChef Zararlısı: Sahte Yazılım Yükleyicileriyle Küresel Ölçekte Yayılıyor

Kasım 20, 2025Kasım 20, 2025Tarafından Cybernews.TR
9
TamperedChef Zararlısı: Sahte Yazılım Yükleyicileriyle Küresel Ölçekte Yayılıyor

Son dönemde Acronis Tehdit Araştırma Birimi (TRU) tarafından yayımlanan kapsamlı bir rapor, TamperedChef adlı zararlının sahte yazılım yükleyicileri aracılığıyla küresel çapta yayılmaya devam ettiğini ortaya koydu. Bu kampanyanın temel amacı, hedef sistemlerde kalıcılık sağlamak ve uzaktan erişim ile kontrolü mümkün kılan obfuskeli JavaScript tabanlı zararlıyı dağıtmak.

Kampanya ve Sosyal Mühendislik Taktikleri

Singapur merkezli Acronis’in araştırmacıları Darrel Virtusio ve Jozsef Gegeny, saldırganların kullanıcı güvenini kazanmak ve güvenlik çözümlerinden kaçınmak için günlük uygulama isimlerini taklit ettiğini, kötü amaçlı reklamlar, SEO manipülasyonu ve kötüye kullanılan dijital sertifikalarla sosyal mühendislik yöntemlerini etkin şekilde kullandığını belirtiyor. Bu yöntemler, kullanıcıların sahte yükleyicilere yönlendirilmesini sağlıyor.

Teknik Altyapı ve Sertifika Kötüye Kullanımı

TamperedChef kampanyasında, ABD, Panama ve Malezya’da kayıtlı kabuk şirketlere ait kod imzalama sertifikaları kullanılarak sahte uygulamalar imzalanıyor. Eski sertifikalar iptal edildiğinde, farklı şirket isimleri altında yenileri edinilerek, imzalanmış uygulamalara duyulan güven kötüye kullanılıyor. Bu durum, Acronis tarafından “endüstriyel ve ticari” altyapı olarak tanımlanıyor ve saldırganların yeni sertifikalar üretip uygulamalara imza atarak kötü amaçlı yazılımı meşruymuş gibi gizlemelerine olanak tanıyor.

Yükleyici ve Arka Kapı Mekanizması

Kampanyada tipik bir saldırı süreci, Bing gibi arama motorlarında PDF düzenleyiciler veya ürün kılavuzları arayan kullanıcılara kötü amaçlı reklamlar veya zehirlenmiş URL’ler gösterilmesiyle başlıyor. Kullanıcılar NameCheap üzerinde kayıtlı tuzaklı alan adlarına yönlendirilip yükleyiciyi indiriyor. Yükleyici çalıştırıldığında, lisans koşullarını kabul etmeleri isteniyor ve kurulum tamamlandığında yeni bir tarayıcı sekmesi açılarak teşekkür mesajı gösteriliyor. Ancak arka planda, obfuskeli JavaScript arka kapısını başlatmak için planlanmış görev oluşturmak üzere bir XML dosyası bırakılıyor.

Bu arka kapı, dış sunucuya bağlanarak oturum kimliği, makine kimliği ve diğer meta verileri şifrelenmiş ve Base64 kodlu JSON formatında HTTPS üzerinden iletiyor. Bu yöntem, MCP istemcisi ve AsyncRAT gibi uzaktan erişim araçlarına benzer şekilde, saldırganlara hedef sistem üzerinde kapsamlı kontrol sağlıyor.

Bağlam ve Geniş Saldırı Seti: EvilAI

TamperedChef, yapay zeka (YZ) araçları ve yazılımlarıyla ilgili tuzaklar kullanan EvilAI kod adlı daha geniş bir saldırı setinin parçası olarak değerlendiriliyor. Bu kapsamda, Pydantic AI gibi popüler yapay zeka kütüphanelerinin adını taşıyan sahte uygulamalar da kullanılarak, hedeflerin dikkatini çekmek amaçlanıyor. Ayrıca, saldırganların konteyner ortamlarında rastgele SSH portları açarak erişim sağlamaya çalıştığı gözlemleniyor. Bu, saldırının karmaşıklığını ve çok katmanlı yapısını ortaya koyuyor.

Farklı İzleme ve İsimlendirme

Truesec ve G DATA tarafından TamperedChef olarak izlenen zararlı, Expel tarafından BaoLoader olarak da adlandırılıyor. Ancak EvilAI kampanyasının bir parçası olan bu kötü amaçlı tarif uygulamasına gömülü orijinal TamperedChef zararlısından teknik olarak farklılıklar içeriyor. Acronis, siber güvenlik topluluğunda karışıklığı önlemek için zararlı ailesine TamperedChef adını verdiğini belirtiyor.

Kampanyanın Hedefleri ve Etkileri

Kampanyanın nihai hedefleri henüz tam olarak netleşmemekle birlikte, bazı sürümlerin reklam dolandırıcılığına hizmet ettiği, finansal kazanç amaçlı olduğu düşünülüyor. Ayrıca, tehdit aktörlerinin erişimleri diğer siber suçlulara kiralayarak veya hassas verileri toplayıp yeraltı forumlarında satarak gelir elde etmeleri de muhtemel. Telemetri verileri, enfeksiyonların büyük çoğunluğunun ABD’de, daha az oranda İsrail, İspanya, Almanya, Hindistan ve İrlanda’da tespit edildiğini gösteriyor. Sağlık, inşaat ve üretim sektörleri en çok etkilenen alanlar arasında yer alıyor.

Uzman Görüşü ve Sonuç

Acronis araştırmacıları, yüksek derecede uzmanlaşmış ve teknik ekipmana bağımlı sektörlerin, özellikle ürün kılavuzları için çevrimiçi arama yapan kullanıcı davranışları nedeniyle bu tür kampanyalara karşı savunmasız olduğunu vurguluyor. Bu bağlamda, TamperedChef kampanyası, sosyal mühendislik ve teknik altyapı kombinasyonuyla hedef sistemlere sızmayı başarıyor.

Bu zararlının teknik detayları ve saldırı yöntemleri, MCP istemcisi, AsyncRAT ve Pydantic AI gibi araçlarla benzerlikler taşıyor. Ayrıca, konteynerlerde rastgele açılan SSH portları ve gelişmiş kod imzalama teknikleri, saldırının karmaşıklığını artırıyor. Siber güvenlik profesyonellerinin, bu tür tehditlere karşı güncel tehdit istihbaratını takip etmeleri ve çok katmanlı savunma stratejileri geliştirmeleri önem taşıyor.

Daha fazla teknik detay ve güncel güvenlik açıkları için CVE-2023-XXXX gibi referansları incelemek faydalı olacaktır.

, , , , , , ,