Açık Dizin Kötü Amaçlı Yazılım Kampanyası Karartılmış vbs, PNG Yükleyicileri ve RAT Yüklerini Kullanıyor

Karartılmış Visual Basic Script (vbs) dosyalarını, PNG gömülü yükleyicileri ve uzaktan erişimli truva atlarını (RAT'lar) diskte iz bırakmadan hedef sistemlere dağıtan sofistike bir çok aşamalı kötü amaçlı yazılım kampanyası ortaya çıktı. 2026 'nın başlarında rutin bir uç nokta tespiti olarak başlayan şey, tek bir fırsatçı saldırıdan çok daha organize olduğunu çabucak ortaya çıkardı ve farklı kötü amaçlı yazılım yüklerini tek bir paylaşılan altyapıdan ayrı saldırı zincirlerine itebilen yeniden kullanılabilir bir dağıtım çerçevesi ortaya çıkardı. Kampanyanın ilk işareti, güvenliği ihlal edilmiş bir uç noktanınUsers Public Downloads dizininde bulunan Name_File.vbs adlı şüpheli bir vbs dosyasıydı. SentinelOne uç nokta koruması, dosyayı tam olarak çalışmadan yakaladı ve karantinaya aldı. Yine de, senaryonun içindeki kodlanmış içerik daha yakından bakmayı gerektiriyordu. Kodu çözüldüğünde, gömülü harici ağ referanslarına sahip Base64 kodlu bir PowerShell komutunu ortaya çıkardı — dosyanın uzak bir sunucudan ek bileşenleri çekmek için tasarlandığına dair açık bir sinyal. LevelBlue analistleri, bu tek uç nokta uyarısının çok daha büyük bir operasyona açılan bir pencere olduğunu belirledi. LevelBlue'nun SpiderLabs Siber Tehdit İstihbaratı ekibi tarafından yürütülen soruşturma, her biri farklı bir kötü amaçlı yazılım yüküne (XWorm varyantları ve metin dosyaları olarak depolanan Remcos RAT dahil) bağlı birden fazla gizlenmiş vbs dosyasına sahip saldırgan kontrollü bir alan ortaya çıkardı. Sahte bir PDF'ye bağlı ayrı bir enfeksiyon zinciri de aynı altyapı üzerinde aktifti ve bu da kampanyanın kasıtlı, çok vektörlü tasarımını doğruladı. Saldırganın altyapısı,/coupon /,/protector/ve/invoice/dahil olmak üzere news4me [.]xyz alan adı içinde açıkça erişilebilen dizinlere odaklanmıştır. Her dizin farklı bir rol oynadı — VBS başlatıcılarını hazırladı, karmaşık yük dosyalarını barındırdı veya tamamen ayrı enfeksiyon vektörleri sundu.