Siber güvenlik araştırmacıları, Windows sistemlerini hedef alan ve kötü amaçlı bir Lua yükleyicisini TrueType font dosyası (.ttf) olarak gizleyen büyük ölçekli bir phishing operasyonunu ortaya çıkardı. Fortinet’in FortiGuard Labs tarafından 16 Temmuz’da yayınlanan araştırmaya göre, Mart 2026’nın sonlarında başlayan kampanya, dosyasız teknikler ve düşük tespit oranına sahip bir yükleyici kullanarak Agent Tesla, Remcos, XWorm ve Best Private LOGGER adlı bir keylogger’ı hedef sistemlere bulaştırıyor.
Saldırganlar, bilinen şirketleri taklit ederek ve iş birliği temalı tuzaklar kullanarak kötü amaçlı arşivler gönderiyor. Bu arşivler genellikle ödeme temalı e-postalara ekleniyor. Fortinet’in gözlemlediği arşivler, yoğun karma kod içeren bir JavaScript dosyası barındırıyor. Bu kod, dizi eşleme ve kontrol akışı düzleştirme teknikleriyle hem manuel analizi hem de yapay zeka destekli incelemeyi engellemeyi hedefliyor.
JavaScript dosyası çalıştırıldığında, kendisini %PUBLIC%\Libraries klasörüne kopyalıyor, kalıcılık için bir zamanlanmış görev oluşturuyor ve ardından bir LuaJIT yorumlayıcısı veya AutoIt çalıştırılabilir dosyası indiriyor. Bu dosyalardan biri, .ttf uzantısı taşıyarak meşru bir TrueType font dosyası gibi görünüyor. Sertifika yaşam döngüsü yönetimi (CLM) sağlayıcısı Sectigo’nun kıdemli üyesi Jason Soroko, bu tasarımın güvenlik kontrollerinin dosya uzantısını dosya türü veya amacı olarak ele alamayacağını gösterdiğini belirtiyor.
Lua tabanlı yol, iki yöntemden daha gelişmiş olanı. Gizlenmiş betik, önce kendini ters çeviriyor, sembol değiştirme kuralları uyguluyor, Base64’ten çözüyor ve ardından ilk baytından türetilen bir anahtarla özel bir ROT şifresi çalıştırıyor. Haziran 2026’daki bir derleme, segmentli bir şifreleme şeması ekledi: shellcode, sayfa boyutunda parçalara bölünüyor, her parça çalıştırılamaz olarak işaretleniyor ve işlemci çalıştırmaya çalıştığında bir Vectored Exception Handler tarafından şifresi çözülüyor.
Nihai yük, Donut shellcode içinde geliyor; yansıtıcı yükleyici, kötü amaçlı yazılımı doğrudan belleğe yükleyip çalıştırarak diskte incelenecek hiçbir şey bırakmıyor. FortiGuard, her kurban başına dört yükten birini tespit etti: Remcos, Agent Tesla, XWorm veya Best Private LOGGER. Şirket, sonuncuyu Snake Keylogger varyantı olarak sınıflandırdı. Keeper Security’nin baş güvenlik sorumlusu Shane Barney, saldırganın amacının geçerli kimlik bilgileri elde etmek ve kalıcı bir dayanak noktası oluşturmak olduğunu söylüyor.
Önemli Gelişmeler
Barney, imza tabanlı tespit başarısız olduğunda, patlama yarıçapının çalınan kimlik bilgileriyle ne kadar hasar verilebileceğine bağlı olduğunu belirtiyor. Kuruluşlara, kimlik kontrollerine, en az ayrıcalık prensibine ve hassas sistemler için yeniden kimlik doğrulamaya güvenmelerini tavsiye ediyor. Soroko ise savunmacıların dosyaları adına göre değil, içerik, davranış ve yürütme bağlamına göre analiz etmeleri ve Windows Script Host, AutoIt ve LuaJIT yorumlayıcılarını gereksiz yerlerde kısıtlamaları gerektiğini vurguluyor.
Kaynak: infosecurity-magazine.com