Microsoft, Ekim 2025'ten bu yana aktif olan ve GigaWiper adı verilen yeni bir Windows backdoor'unu keşfetti. Bu kötü amaçlı yazılım, sadece sisteme sızmakla kalmıyor, aynı zamanda verileri kalıcı olarak yok etme yeteneğine de sahip. Golang programlama diliyle yazılan GigaWiper, modüler yapısı sayesinde hem uzaktan erişim hem de veri imha işlevlerini bir arada sunuyor.
GigaWiper, daha önce ayrı ayrı kullanılan Crucio fidye yazılımı ve FlockWiper disk silici gibi araçların birleştirilmesiyle oluşturulmuş bir platform olarak dikkat çekiyor. Microsoft'un araştırmasına göre, bu backdoor yaklaşık 20 farklı komut içeriyor ve bunlar üç ana kategoriye ayrılıyor: yok etme, uzaktan erişim/izleme ve sistem yönetimi.
Yok etme kategorisinde, GigaWiper'ın dört farklı silme yöntemi bulunuyor. Bunlardan ilki, disk içeriğini büyük parçalar halinde üzerine yazarak hemen yeniden başlatmaya zorlayan ham disk silici. İkincisi, Crucio tabanlı sahte fidye yazılımı; dosyaları şifreleyip şifreleme anahtarını atarak kurtarmayı imkansız hale getiriyor. Üçüncüsü, Windows kurulum sürücüsünü hedef alan ve farklı bayt desenleriyle çoklu geçiş yapan güvenli silici. Son olarak, ekran görüntüsü alma ve kaydetme özelliği bulunuyor.
Uzaktan erişim ve izleme özellikleri arasında, TCP protokolü üzerinden çalışan bir sunucu aracılığıyla masaüstünü yayınlama ve klavye/fare girdilerini iletme yeteneği yer alıyor. GigaWiper, kendi Windows Güvenlik Duvarı istisnalarını oluşturarak bu erişimi güvence altına alıyor. Ayrıca, sistemde kalıcılık sağlamak için her dakika ve başlangıçta çalışan 'OneDrive Update' adlı bir zamanlanmış görev oluşturuyor.
Nasıl Önlem Alınmalı?
GigaWiper'ın komuta ve kontrol sunucuları 185.182.193[.]21 ve 212.8.248[.]104 adreslerinde tespit edildi. Malwarebytes gibi güvenlik yazılımları bu bağlantıları engelleyebiliyor. Kötü amaçlı yazılım ayrıca süreç, hizmet ve kayıt defteri yöneticileri içeriyor; donanım, işletim sistemi, ağ, ürün yazılımı, kullanıcı ve antivirüs bilgilerini topluyor.
GigaWiper'dan korunmak için, ilk sızmayı önlemek ve yıkıcı komutlar yürütülmeden önce kötü amaçlı etkinlikleri tespit etmek kritik önem taşıyor. Malwarebytes, GigaWiper bileşenlerini Trojan.FlockWiper ve Backdoor.GigaWiper olarak algılıyor. Tespit durumunda, etkilenen makineyi ağdan hemen ayırın, güvenlik yazılımınızda kurcalama korumasını etkinleştirin, bilinen C2 sunucularına bağlantıları izleyin ve yetkilendirme bilgilerini döndürün.
Kaynak: malwarebytes.com