Bu rehber, gerçek XLoader örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

XLoader Nedir?

XLoader, ilk olarak 2020 yılında gözlemlenen bir Bilgi Hırsızı (Infostealer)'dır. Temel amacı tarayıcı şifreleri, oturum çerezleri, kripto cüzdanları ve sistem bilgilerini olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C++ programlama dili ile geliştirilmiş olup C2 iletişiminde HTTP protokolünü kullanmaktadır.

XLoader, Infostealer kategorisinde aktif olan ve dünya genelinde yaygın biçimde gözlemlenen bir zararlı yazılım ailesidir. Bu örnek, etkilenen sistemlerdeki hassas kimlik bilgilerini ve kişisel verileri toplayan bir bilgi hırsızı (infostealer) olarak sınıflandırılmıştır. Tarayıcı kayıtlı parolaları, çerezler, kripto para cüzdanı verileri ve oturum tokenları bu zararlı yazılımın birincil hedeflerid

Atıf / Tehdit Aktörü: NULL

Teknik Detay: Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Nasıl Bulaşır?

  • Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
  • Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
  • Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
  • Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
  • USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma

Enfeksiyon Belirtileri

  • Sistem performansında ani ve açıklanamayan düşüş
  • Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
  • Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
  • Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar
  • Tarayıcı hesapları ele geçirildi, hesaplara izinsiz giriş uyarıları

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek XLoader örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
f403f97b712e31aea525adb844e37853c032178bfdaeca5e2ab3ee7ffb07748eSHA256NULL
06a9bf9c5f8039d2c7e180c218ac281139fb128e6fba020132d5f61b95040388SHA256NULL
9df0a35374f2dbd8e792d7a1629094739e4eca4212a5944bfaf02907b9c11838SHA256NULL
8af65675ee4d789cd49678e942ddf45986a72279f48d65f80f070e8f13bca9a2SHA256NULL
b0e6f3ec8f8853ccd910663c6f5cfa86294b3a8ad27ab0480592c7bc757ff6e9SHA256NULL
9b58253659d90089ef7f8760fa66eb7bMD5NULL
d82f6b71b9b47051007ebdd2e096129eMD5NULL
318a356bebbcb31e16dda3328b7c1acfMD5NULL
082754aff0a4e091263c2861e5dea9f6MD5NULL
dde8ce2c107b9861a36a25b17c3698d0MD5NULL

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

  • Win + Rmsconfig → Önyükleme sekmesi → "Güvenli önyükleme" → "Ağ" → Tamam → Yeniden Başlat
  • Veya başlangıçta F8 (eski Windows sürümleri)

Adım 3 — XLoader Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

  • Malwarebytes
  • AdwCleaner
  • HitmanPro

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

  • Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
  • Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
  • Edge: Ayarlar → Ayarları Sıfırla

Çalınan Verileri Koruma Altına Alın

Temizleme sonrası tüm önemli hesaplarınızı farklı ve temiz bir cihazdan derhal değiştirin:

  • Google, Microsoft, Apple, sosyal medya hesap şifreleri ve 2FA cihaz bağlantıları
  • Bankacılık, ödeme sistemleri, e-ticaret site şifreleri
  • Kripto cüzdanları — yeni cüzdan oluşturun, eski seed phrase'i geçersiz kılın
  • E-posta sağlayıcınıza şüpheli erişimi bildirin, aktif oturumları sonlandırın
  • Tüm hesaplarda 2FA/MFA etkinleştirin

Yeniden Enfeksiyonu Önleme

  • İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
  • Güvenilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
  • E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
  • Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
  • Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
  • Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
  • Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.

XLoader — Malware Profile

XLoader, FormBook türevi stealer'dır.

Malware Type
Infostealer
Programming Language
C
C2 Protocol
HTTP
Target Systems
Windows/macOS

Technical Details

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
45.131.66.167 ip 4444 HTTP inactive RU

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
temizlikkaldırmaxloaderinfostealervirüs temizleme