Murat İşbilir

BitDefender araştırmacıları 20 Temmuz 2021 tarihinde MosaicLoader ismi verilen ziyanlı yazılım tespit etti. Söylenenlere nazaran bulaştığı sistemlerde kendisini Microsoft Defender‘ın istisnalar listesine ekleyerek Defender tarafından yürütülecek taramalara karşı görünmez hale getiriyordu.

TheHackerNews ile bulgularını paylaşan BitDefender araştırmacıları, bu yeni zararlının temelde öteki makûs maksatlı yazılımları sistemlere bulaştırmak emeliyle kullanılan bir “loader” olduğunu belirtti. Saldırganlar için siber kabahat pazarında epeyce kâr getirecek cinsten olan bu ziyanlı, “zararlı yazılım teslimatı” yapma tekniklerine sahip.

MosaicLoader crackli yazılımlar üzere davranarak sistemlere bulaşıyor ve C2 (komuta kontrol) sunucusuna bağlanarak listeye nazaran ziyanlı yazılımları etkilediği sistemlere indiriyor. Araştırmalara nazaran “loader” tarafından birinci olarak bir ZIP belgesi indiriliyor ve çıkartılıyor. Daha sonra ZIP içinden çıkartılan “appsetup.exe” isminde bir öteki yazılım çalıştırılıyor. Bu yazılım ise “prun.exe” isimli ziyanlı parçacığını çalıştırmak için kullanılıyor.

“prun.exe” ise çeşitli güvenlik düzeneklerini atlatmak için kullanılan bir öbür yapıyı indiriyor ve çalıştırıyor. Bu sistemin çalışmasından sonra asıl makûs emelli kod sistemde etkin hale geliyor. MosaicLoader, bu halde bilakis mühendislik çalışmalarından ve tahlillerden rahatlıkla kaçabilmiş.

Ayrıyeten MosaicLoader’ın daha fazla kullanıcıya bulaşabilmesi için saldırganlar birtakım SEO tekniklerini izledi. Arama motorlarının üst kısımlarından reklam alanları alarak ziyanlı yazılımı içeren geçersiz sayfaları amaç sözlerde üstte tutmayı başardılar.

Başarılı bir bulaşma sonrası MosaicLoader kendisini Windows Defender’ın aşağıdaki kayıt defteri pozisyonlarında yer alan lokal dışlananlar listesine ekliyor. Böylelikle başlatılabilecek rastgele bir taramadan muvaffakiyetle kaçınıyor.

• Dışlanan Klasörler ve Belgeler – HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExclusionsPaths
• Belge Tipi Bazında Dışlananlar – HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExclusionsExtensions
• Çalışan Process/Süreç Bazında Dışlananlar – HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExclusionsProcesses

MosaicLoader’in sisteme yüklediği “appsetup.exe” isimli yürütülebilir belge, kalıcılığı sağlamak için oluşturulmuş. İkinci belge olan “prun.exe” ise komuta denetim sunucusunda yüklenmesi istenen bir diğer zararlıları yüklemekle sorumlu. Parola ve çerez çalıcılar, miner’lar ve benzeri zararlıları sisteme yüklemek için kullanılıyor.

Ayrıyeten “prun.exe” belgesi baytlara ayırma ve çeşitli anti-analiz tekniklerinin yanı sıra yalnızca zararlının çalışması için kıymetli olan modülleri yürütmek üzere formülleri de barındırıyor. MosaicLoader önümüzdeki vakit dilimi içerisinde siber hatalıların çeşitli hedeflerle kullanacağı ellerindeki güçlü bir oyuncak olabilir.

MosaicLoader ve gibisi zararlılardan korunmak için yapmanız gereken ise korsan yazılımlardan uzak durmak. Çünkü saldırganların hedeflediği kitle yasa dışı içeriklerle ve korsan yazılımlarla haşir neşir olan kullanıcılar. Ayrıyeten nereden olursa olsun bir belge indirdikten sonra kesinlikle güvenlik yazılımınızla denetim etmelisiniz.