Fortinet'in FortiGuard Labs araştırmacıları, Mart 2026'nın sonlarından bu yana aktif olan büyük ölçekli bir phishing operasyonunu ortaya çıkardı. Saldırganlar, kötü amaçlı bir Lua tabanlı yükleyiciyi TrueType font dosyası (.ttf) gibi gizleyerek Windows sistemlerine sızıyor ve ardından Agent Tesla, Remcos, XWorm gibi uzaktan erişim truva atları (RAT) ile Best Private LOGGER adlı bir keylogger dağıtıyor. Kampanya, dosyasız teknikler ve düşük tespit oranlı yükleyici kullanarak dikkat çekiyor.
Saldırganlar, tanınmış şirketleri taklit ederek iş birliği temalı sahte e-postalar gönderiyor. Bu e-postalarda, ödeme talebi içeren ekler bulunuyor. Kullanıcılar bu ekleri açtığında, yoğun şekilde gizlenmiş JavaScript dosyası çalışıyor. JavaScript, manuel analizi ve yapay zeka tabanlı incelemeyi zorlaştırmak için karmaşık kod yapıları içeriyor.
JavaScript çalıştırıldığında kendini %PUBLIC%\Libraries klasörüne kopyalıyor, kalıcılık için bir zamanlanmış görev oluşturuyor ve ardından LuaJIT yorumlayıcısı veya AutoIt çalıştırılabilir dosyasını indiriyor. Lua betiği ise .ttf uzantısıyla geliyor ve meşru bir TrueType fontu gibi görünüyor. Sectigo'dan Jason Soroko, bu durumun 'güvenlik kontrollerinin dosya uzantısını dosya türü veya niyeti kanıtı olarak kabul edemeyeceğini' gösterdiğini belirtiyor.
Nasıl Önlem Alınmalı?
Lua yükleyici, daha gelişmiş bir teknik kullanıyor. Betik kendini ters çeviriyor, sembol değiştirme kuralları uyguluyor, Base64'ten çözüyor ve ardından özel bir ROT şifresi çalıştırıyor. Anahtar, şifreli metnin ilk baytından türetiliyor. Haziran 2026'da eklenen bir güncelleme ile bölümlü şifreleme şeması eklendi; shellcode sayfa boyutunda parçalara ayrılıp işaretlenemez hale getiriliyor ve Vectored Exception Handler ile sayfa sayfa çözülüyor.
Gelecekte Ne Bekleniyor?
Son yük, Donut shellcode içinde geliyor. Donut, yansıtıcı yükleyici ile zararlı yazılımı doğrudan bellekte eşleyip çalıştırarak diskte hiçbir iz bırakmıyor. FortiGuard, her kurban için dört yükten birini tespit etti: Remcos, Agent Tesla, XWorm veya Best Private LOGGER. Best Private LOGGER, Snake Keylogger'ın bir varyantı olarak sınıflandırıldı.
Keeper Security'den Shane Barney, saldırganların hedefinin geçerli kimlik bilgileri ve kalıcı bir erişim olduğunu vurguluyor. İmza tabanlı tespit başarısız olduğunda, hasarın boyutunun çalınan kimlik bilgileriyle ne kadar yapılabileceğine bağlı olduğunu belirtiyor. Kuruluşlara, kimlik kontrollerine, en az ayrıcalık ilkesine ve hassas sistemler için yeniden kimlik doğrulamaya odaklanmalarını öneriyor.
Kaynak: infosecurity-magazine.com