Bilgisayar korsanları genellikle ele geçirdikleri cihazlara tek bir kötü amaçlı yazılım parçası yükler ve bu şekilde gizlice hedeflerine ulaşmayı hedeflerler. Ancak Unfurling Hemlock adı verilen yeni bir saldırı kampanyası, bu alışılmadık yöntemi tersine çevirerek dikkat çekiyor. Araştırmacılar, kurbanın kötü amaçlı yazılım yürütülebilir dosyalarını etkinleştirdiğinde, farklı kötü amaçlı yazılım, bilgi hırsızı ve botnet yürütülebilir dosyaların sistemde çalıştığını belirtiyor.
Kötü amaçlı yazılımların genellikle siber güvenlik çözümleri tarafından tespit edildiği ancak saldırganların bazı yüklerin tespit edilmeden kalabileceği belirtiliyor. Bu yükler arasında Redline, RisePro, Mystic Stealer, Amadey, SmokeLoader, Protection Disabler, Enigma Packer, Healer ve Performance Checker gibi kötü amaçlı yazılımlar bulunuyor. Bu kötü amaçlı yazılım küme bombasının ilk olarak Şubat 2024’te keşfedildiği ve Unfurling Hemlock ile ilişkilendirilen 50.000’den fazla benzersiz dosya olduğu belirtiliyor.
Unfurling Hemlock’un arkasındaki tehdit aktörlerinin kimliği kesin olarak belirlenemese de Doğu Avrupa kökenli oldukları düşünülüyor. Bazı kanıtlar, örneğin bazı örneklerde Rusça dilinin kullanılması ve bölgedeki siber suç gruplarının yaygın olarak kullandığı bir barındırma hizmeti olan Otonom Sistem 203727’nin kullanımı bu yönde ipuçları sağlıyor.
Neyse ki, bu kampanya aracılığıyla dağıtılan kötü amaçlı yazılım tanınıyor ve çoğu saygın antivirüs programı tarafından tespit ediliyor.
