Sahte VPN ve Tarayıcı Kurulum Dosyalarıyla Winos 4.0 Zararlısı Yayılıyor

Siber güvenlik araştırmacıları, popüler yazılım kurulum dosyalarını taklit eden yeni bir zararlı yazılım kampanyasını ortaya çıkardı. Bu kampanyada, LetsVPN ve QQ Browser gibi yazılımların sahte yükleyicileri kullanılarak Winos 4.0 adlı gelişmiş bir zararlı sisteme bulaştırılıyor.

Catena Yükleyicisi Bellek Üzerinden Bulaşıyor

Kampanya, Rapid7 tarafından şubat 2025’te tespit edildi. Saldırganlar, Catena adını taşıyan çok aşamalı ve yalnızca bellekte çalışan bir yükleyici kullanıyor. Bu yazılım, yüklediği zararlı dosyaları sabit diske yazmadan çalıştırarak geleneksel antivirüs sistemlerinden gizleniyor.

Araştırmacılar Anna Širokova ve Ivan Feigl, Catena’nın sistem belleğine gömülü shellcode ve yapılandırma değiştirme mekanizmasıyla Winos 4.0 gibi zararlıları gizlice indirdiğini belirtti. Kurulum tamamlandıktan sonra, sistem sessizce saldırganların kontrolündeki sunuculara bağlanarak ek talimatlar veya yeni zararlı bileşenler alıyor.

Saldırının büyük ölçüde Çin dili kullanan sistemleri hedef aldığı görülüyor. Rapid7, bu saldırıların arkasında uzun vadeli ve dikkatli planlama yapan tecrübeli bir tehdit grubunun bulunduğunu belirtiyor. Daha önce Trend Micro tarafından haziran 2024’te belgelenen Winos 4.0, VPN uygulamalarının kurulum dosyaları aracılığıyla Çinli kullanıcıları hedef almıştı.

Söz konusu saldırılar, Silver Fox veya Void Arachne olarak bilinen tehdit grubu ile ilişkilendiriliyor. Bu grup, kullanıcıları kandırmak için sahte hızlandırıcılar ve oyun araçlarını kullanan saldırılarla daha önce de gündeme gelmişti. Şubat 2025’te Tayvan’daki kurumlara yönelik yapılan kimlik avı saldırılarında, zararlı yazılımlar Maliye Bakanlığı’ndan gelmiş gibi görünen sahte e-postalarla dağıtılmıştı.

Tüm bulaşma zinciri, NSIS yükleyicileri üzerinden ilerliyor. Bu kurulum dosyaları, yasal görünümlü uygulamalarla birlikte geliyor ve içinde “.ini” dosyalarına gömülü shellcode barındırıyor. Rapid7, bu yapının Catena olarak adlandırıldığını ve tehdit aktörünün 2025 boyunca aktif kaldığını duyurdu.

Kurulumun ilk adımında, QQ Browser gibi bilinen yazılımların taklidi olan bir NSIS yükleyici devreye giriyor. Bu yükleyici, Catena aracılığıyla Winos 4.0’ı sistem belleğine sızdırıyor. Zararlı yazılım, TCP 18856 ve HTTPS 443 portları üzerinden saldırganın altyapısına bağlanıyor.

Zararlı yazılım, kurulumdan birkaç hafta sonra çalışan zamanlanmış görevler oluşturarak sistemde kalıcılığını sağlıyor. Yazılım, sistemin dil ayarlarını kontrol ediyor. Her ne kadar yalnızca Çince sistemlerde çalışması planlansa da, bu özellik henüz tam olarak devreye alınmamış durumda.

Nisan 2025’te tespit edilen yeni bir saldırı varyantında, Let’sVPN adıyla sahte bir kurulum dosyası kullanılıyor. Bu kurulum, PowerShell komutu aracılığıyla Microsoft Defender’ın C:\’den Z:\’ye kadar tüm sürücülerdeki taramalarını devre dışı bırakıyor. Ardından, 360 Total Security gibi güvenlik yazılımlarının çalışıp çalışmadığını kontrol eden ek dosyalar sisteme indiriliyor.

Saldırıda kullanılan ana yürütülebilir dosyanın, 2018 ile 2020 yılları arasında geçerli olan ancak süresi dolmuş bir VeriSign sertifikası ile imzalandığı tespit edildi. Sertifikanın Tencent Technology (Shenzhen) adına düzenlenmiş olması, meşruiyet algısını artırıyor. Bu dosya, bir DLL dosyasını bellek üzerinden yükleyerek komut ve kontrol sunucularına bağlanıyor. Sunucular arasında “134.122.204[.]11:18852” ve “103.46.185[.]44:443” adresleri bulunuyor.

Araştırmacılar, bu kampanyanın bölgesel hedefli, dikkatlice yürütülen ve gelişmiş tekniklerle desteklenen bir saldırı zinciri olduğunu vurguladı. Sahte kurulum dosyaları, yalnızca bellekte çalışan yükleyiciler ve geçerli görünen dijital sertifikalar sayesinde zararlı yazılım kullanıcıdan gizleniyor. Saldırı yapısının, Silver Fox adlı gelişmiş tehdit grubuyla bağlantılı olduğu düşünülüyor.