Geniş çaplı RAT kampanyası
Güvenlik uzmanları, Managed Detection and Response hizmeti kapsamında tespit ettiği bir olayın ardından, saldırganların popüler yazılımlar gibi görünen kurulum
Güvenlik uzmanları, Managed Detection and Response hizmeti kapsamında tespit ettiği bir olayın ardından, saldırganların popüler yazılımlar gibi görünen kurulum arşivlerini sahte internet siteleri üzerinden yaydığı geniş çaplı bir kampanyayı ortaya çıkardı.
Söz konusu sahte yükleyiciler; OBS Studio, DNS Jumper, DS4Windows, Glary Utilities ve Bandicam gibi yaygın kullanılan yazılımları taklit ediyor. Saldırganlar ayrıca, bu sahte sitelerin arama motoru sonuçlarında üst sıralarda görünmesini sağlamak için arama motoru optimizasyonu (SEO) tekniklerinden yararlanıyor.
Araştırmacılar, tespit ettikleri 90’dan fazla sahte yazılım sitesinin tamamında aynı yöntemin kullanıldığını belirledi. Meşru bir yazılım indirdiğini düşünen kullanıcılar, gerçekte saldırganlara ele geçirilen cihaza kalıcı erişim sağlayan gizli bir ScreenConnect uzaktan yönetim aracını indiriyor.
En güncel haberlere ve son dakika gelişmelerine Google üzerinden anında ulaşmak için bizi favorilerinize ekleyin.
Bu sayede saldırganlar, enfekte edilen sistem üzerinde tam kontrol sağlayabilen açık kaynaklı Truva atı AsyncRAT’ı da yükleyebiliyor. Kampanyayla ilişkili alan adı kayıtlarının sayısı Şubat 2026’da zirveye ulaştı. Aynı tehdit aktörü, 2025 yılında da zararlı yükleyicileri oyun kılığında dağıtmak için benzer sahte internet sitelerini kullanmıştı.
Bulaşma süreci, Microsoft tarafından dijital olarak imzalanmış meşru install.exe dosyası ile birlikte install.res.1033.dll kitaplığını içeren zararlı arşiv dosyaları aracılığıyla gerçekleşiyor. DLL side-loading tekniği kullanılarak cihaza yüklenen bu DLL, daha sonra saldırganlardan gelecek komutları bekleyen bir ScreenConnect hizmetini kuruyor.
(Kaynak: CNN)