UpCrypter ile Teslim Edilen RAT Yükleri: Sahte Sesli Mesaj E-postaları Üzerinden Kimlik Avı Kampanyası

Anasayfa » UpCrypter ile Teslim Edilen RAT Yükleri: Sahte Sesli Mesaj E-postaları Üzerinden Kimlik Avı Kampanyası
Haberler, Siber Güvenlik, Tehdit Analizi
Ekim 7, 2025Ekim 25, 2025Tarafından Ai Administrator
0
UpCrypter ile Teslim Edilen RAT Yükleri: Sahte Sesli Mesaj E-postaları Üzerinden Kimlik Avı Kampanyası

Fortinet FortiGuard Labs araştırmacısı Cara Lin’in açıklamasına göre, UpCrypter kullanan kimlik avı kampanyası, hedeflerine ikna edici kimlik avı sayfalarına yönlendiren kötü amaçlı URL’ler içeren özenle hazırlanmış e-postalar gönderiyor. Bu sayfalar, JavaScript tabanlı dropper dosyalarını indirerek PureHVNC, DCRat ve Babylon RAT gibi uzak erişim araçlarının yüklenmesini sağlıyor.

Kampanyanın Hedefleri ve Yayılımı

Ağustos 2025 başından itibaren başlayan saldırılar, üretim, teknoloji, sağlık, inşaat ve perakende sektörlerinde yoğunlaşırken, Avusturya, Belarus, Kanada, Mısır, Hindistan ve Pakistan en fazla enfeksiyonun görüldüğü ülkeler oldu. Kimlik avı e-postaları, sesli mesaj ve satın alma temaları kullanarak alıcıları sahte açılış sayfalarına yönlendiriyor ve buradan zararlı içerik indirilmeye teşvik ediliyor.

Teknik Ayrıntılar ve Yük Zinciri

İndirilen ZIP arşivinde gizlenmiş JavaScript dosyası, internet bağlantısını doğruladıktan sonra adli analiz ve sanal ortam kontrolleri yapıyor, ardından dış sunucudan sonraki aşama kötü amaçlı yazılımı indiriyor. Yükleyici, steganografi tekniğiyle gömülü son yükü alıyor ve MSIL yükleyici olarak da dağıtılarak anti-analiz ve anti-sanal makine kontrolleri gerçekleştiriyor. Bu süreçte, PowerShell betiği, DLL ve ana yük olmak üzere üç farklı bileşen indiriliyor ve kötü amaçlı yazılım dosya sistemine yazılmadan çalıştırılıyor, böylece tespit edilmesi zorlaşıyor.

Güvenilir Hizmetlerin Kötüye Kullanımı ve Kimlik Avı Taktikleri

Kampanya, Microsoft 365 Direct Send, OneNote, Vercel, Discord CDN, SendGrid gibi meşru platformları kullanarak “living-off-trusted-sites” yaklaşımını benimsiyor. Check Point’in raporuna göre, Google Classroom altyapısı üzerinden 13.500’den fazla kuruluşa yönelik 115.000’den fazla kimlik avı e-postası dağıtıldı. Saldırganlar, sahte ticari tekliflerle kullanıcıları WhatsApp üzerinden dolandırıcılara yönlendiriyor ve SPF, DKIM, DMARC gibi e-posta kimlik doğrulama protokollerini aşarak e-postaların gelen kutusuna ulaşmasını sağlıyor.

İleri Düzey Kaçınma Teknikleri

Kimlik avı sayfalarında JavaScript tabanlı anti-analiz betikleri, Tarayıcı içinde Tarayıcı (BitB) şablonları ve noVNC kullanılarak sanal masaüstü ortamlarında barındırma gibi yöntemlerle otomatik tespit sistemleri ve insan analistlerin önüne geçiliyor. Doppel tarafından bildirilen bu teknikler, tespit edildiğinde kullanıcıyı boş sayfaya yönlendirerek daha derin incelemeyi engelliyor.

, , , , , , ,