Cracks ve Keyjenler gibi yasadışı yazılımlar olarak gizlenmiş bir Infostealer olan Acrstrealer kötü amaçlı yazılım, 2025’in başından beri dağılımında önemli bir artış gördü.
Başlangıçta 2024’ün ortalarında sınırlı ciltlerde dağıtılan bu kötü amaçlı yazılım, Şubat ayının Ocak ayının faaliyet seviyeleri ile eşleşen ve keskin bir artış eğilimine işaret ederek çekiş kazandı.
Ahnlab Güvenlik İstihbarat Merkezi’nden (ASEC) güvenlik araştırmacıları, Google Dokümanlarını, onu diğer infosterers’lardan ayıran yeni bir taktik olan aracı komut ve kontrol (C2) platformu olarak tanımladılar.
C2 iletişimi için Google Dokümanları’ndan yararlanıyor
Acrstrealer, kötü amaçlı işlemlerini maskelemek için Google Dokümanlar gibi meşru web platformlarından yararlanan Dead Drop Resolver (DDR) olarak bilinen sofistike bir teknik kullanır.
Tehdit aktörleri, Base64 kullanarak gerçek C2 etki alanını kodlar ve Google Dokümanlar ve Sunumlar gibi platformlara belirli sayfalara yerleştirir.
%20used%20as%20an%20intermediary%20C2.webp)
Kötü amaçlı yazılım bu sayfalara erişir, bilgileri kodlar ve kötü amaçlı etkinlikler yürütmek için gerçek C2 adresini alır.
Bu aracı C2 yaklaşımı, Vidar ve Lummac2 gibi diğer kötü amaçlı yazılım ailelerinde de gözlenmiştir.
Geleneksel yöntemlerden farklı olarak, Acrstrealer, C2 dizelerinin gömülü olduğu platformları ve yerleri sürekli olarak değiştirerek esneklik gösterir.
Örneğin, önceki sürümler buhar sayfalarında görünür alanlar kullanırken, son örnekler bu dizeleri “özet” gibi meta veri alanlarında gizleyerek sadece sayfa kaynağı aracılığıyla erişilebilir hale getirir.
Bu uyarlanabilirlik, tehdit aktörlerinin aracı C2 operasyonları için çeşitli platformlardan yararlanmaya devam edeceğini göstermektedir.
Hedeflenen veriler ve gelişmiş eksfiltrasyon teknikleri
Acrstrealer, çalıştırıldıktan sonra, sabit kodlu bir UUID formatı kullanarak yapılandırma verilerini C2 sunucusundan alır.
Bu yapılandırma dosyası, tarayıcı kimlik bilgileri, kripto para birimi cüzdanları, FTP sunucusu bilgileri, e -posta istemci verileri, VPN ayrıntıları, şifre yöneticisi dosyaları ve daha fazlası dahil olmak üzere, açıklanacak veri türlerini belirtir.
Çalıntı veriler C2 sunucusuna iletilmeden önce ZIP dosyalarına sıkıştırılır.
Kötü amaçlı yazılım, popüler tarayıcılar (örn., Chrome, Firefox), kripto para birimi cüzdanları (örn., Metamask, güven cüzdanı), uzaktan erişim araçları (örn. AnyDesk) ve şifre yöneticileri (örn. LastPass ).
Ayrıca, kripto para birimi ve kimlik doğrulama hizmetleriyle ilişkili tarayıcı uzantılarına ve eklentilerine erişimini genişletir.
Acrstrealer’ın artan dağılımı, dünya çapında kullanıcılar için artan tehdidini vurgulamaktadır. Kötü amaçlar için Google Dokümanlar gibi güvenilir platformlardan yararlanarak, kötü amaçlı yazılım geleneksel algılama mekanizmalarından kaçar.
Kullanıcılara güvenilmez kaynaklardan yasadışı yazılım indirmekten kaçınmaları ve şüpheli çevrimiçi etkinliklere karşı uyanık kalmaları şiddetle tavsiye edilir.
Siber suçlular taktiklerini geliştirmeye devam ettikçe, kuruluşlar bu tür tehditleri etkili bir şekilde tespit etmek ve hafifletmek için proaktif önlemler benimsemelidir.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here