Yeni GigaWiper Windows Kötü Amaçlı Yazılımı: Bilgisayarınızı Ele Geçirip Silebilir Yazılım

Yeni GigaWiper Windows Kötü Amaçlı Yazılımı: Bilgisayarınızı Ele Geçirip Silebilir

Microsoft, Windows'u hedef alan GigaWiper adlı yeni bir kötü amaçlı yazılım keşfetti. Bu modüler backdoor, hem uzaktan erişim hem de kalıcı veri silme

Microsoft, Ekim 2025'ten bu yana Windows sistemlerine sızan GigaWiper adlı yeni bir kötü amaçlı yazılım tespit etti. Golang programlama diliyle yazılan bu modüler backdoor, yalnızca bir veri silme aracı olmanın ötesinde, saldırganlara geniş bir operasyonel platform sunuyor. GigaWiper, komuta ve kontrol (C2) işlevlerini, veri yok etme yöntemlerini ve uzaktan erişim özelliklerini tek bir çatı altında birleştiriyor. Microsoft'un araştırmasına göre, bu kötü amaçlı yazılım daha önce bağımsız olarak kullanılan Crucio fidye yazılımı ve FlockWiper disk silici gibi araçların birleştirilmesiyle oluşturulmuş olabilir.

GigaWiper, yaklaşık 20 farklı komut uyguluyor ve bunlar üç ana kategoriye ayrılıyor: yok etme, uzaktan erişim/izleme ve sistem yönetimi. Yok etme kategorisinde, ham disk silici büyük bloklar halinde disk içeriğinin üzerine yazar ve ardından sistemi zorla yeniden başlatır. Ayrıca Crucio tabanlı sahte fidye yazılımı, dosyaları şifreler ancak şifre çözme anahtarını atarak kurtarmayı imkansız hale getirir. Windows sürücü güvenli silici ise Windows kurulum sürücüsünü hedef alır ve farklı bayt desenleri kullanarak çoklu geçişli üzerine yazma işlemi gerçekleştirir.

Uzaktan erişim ve izleme özellikleri arasında ekran görüntüsü alma ve kaydetme bulunuyor. Kötü amaçlı yazılım, her monitörün tek seferlik ekran görüntüsünü alabilir veya kullanıcı aktifken sürekli kayıt yapabilir. Ayrıca bir TCP sunucusu üzerinden uzaktan kontrol sağlıyor; masaüstünü yayınlayıp klavye ve fare girişine izin veriyor. Bunu yaparken kendi Windows Güvenlik Duvarı istisnalarını oluşturuyor. GigaWiper, kalıcılığını sağlamak için her dakika ve başlangıçta çalışan 'OneDrive Update' adlı bir zamanlanmış görev oluşturuyor. C2 sunucuları 185.182.193[.]21 ve 212.8.248[.]104 adreslerinde tespit edilmiş durumda.

Sistem yönetimi araçları arasında süreç, hizmet ve kayıt defteri yöneticileri yer alıyor. Bu araçlar, süreçleri oluşturma, listeleme veya sonlandırma, Windows hizmetlerini yönetme ve kayıt defteri anahtarlarında gezinme ve değişiklik yapma yetenekleri sunuyor. Ayrıca donanım, işletim sistemi, ağ, ürün yazılımı, kullanıcı ve antivirüs bilgileri dahil olmak üzere kapsamlı sistem bilgisi topluyor. Bu özellikler, GigaWiper'ı uzun süreli erişim isteyen ancak gerektiğinde sistemleri silme seçeneğini de elinde tutan saldırganlar için ideal bir araç haline getiriyor.

GigaWiper'dan korunmanın en etkili yolu, ilk sızmayı önlemek ve yıkıcı komutlar yürütülmeden önce kötü amaçlı etkinliği tespit etmektir. Malwarebytes, GigaWiper bileşenlerini Trojan.FlockWiper ve Backdoor.GigaWiper olarak algılamaktadır. Eğer GigaWiper tespit edilirse, etkilenen makineyi ağdan hemen ayırmak saldırganların yıkıcı komutlar başlatmasını engelleyebilir. Ayrıca güvenlik yazılımınızda kurcalama korumasını etkinleştirmek, yerel yöneticilerin veya kötü amaçlı yazılımların anti-malware veya diğer güvenlik araçlarını sessizce devre dışı bırakmasını önleyecektir.

Bilinen C2 sunucularına yapılan bağlantıları, 'OneDrive Update' zamanlanmış görevinin oluşturulmasını ve Windows kurtarma özelliklerini devre dışı bırakma girişimlerini izlemek de kritik öneme sahiptir. Son olarak, özellikle tehlikeye girmiş olabilecek hesaplar için kimlik bilgilerini döndürün ve ayrıcalık yükseltmeleri veya yanal hareketleri belirlemek için günlükleri inceleyerek diğer sistemlerin de etkilenip etkilenmediğini kontrol edin. GigaWiper, karmaşık yapısı ve yıkıcı potansiyeliyle siber güvenlik dünyasında ciddi bir tehdit oluşturmaktadır.

Kaynak: malwarebytes.com

Paylaş: