Tehdit aktörleri, şüphelenmeyen kullanıcılardan gizlice hassas bilgiler toplamak için hırsızları kullanır.
Bu araçlar, sistemlere sızma, tespit edilmeden kalma ve tehdit aktörlerinin finansal kazanç ve çeşitli kötü amaçlı amaçlar için kullanabileceği değerli verileri çıkarma yetenekleri nedeniyle tercih edilmektedir.
Hırsızlar, tehdit aktörlerinin doğrudan bir mücadele olmadan değerli varlıklara erişmesi için düşük riskli ve yüksek ödüllü bir yöntem sunar.
Cisco’daki siber güvenlik araştırmacıları yakın zamanda Agniane hırsızının finansal verileri çalmak için kullanıcılara saldırdığını keşfetti ve uyardı.
Agniane Stealer Kullanıcılara Saldırıyor
Agniane Stealer, Ağustos 2023’te ortaya çıkan kripto hedeflemeli bir kötü amaçlı yazılımdır. Araştırmacılar yakın zamanda URL düzenine, dosya toplama yöntemlerine ve C2 protokolüne ilişkin yeni bilgiler ortaya çıkardı.
Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.
Yerinizi Ayırın
Kötü amaçlı yazılım, Telegram’da (@agnianebot) aktif olarak pazarlanıyor ve ConfuserEx Protector’u benzersiz bir C2 yöntemiyle kullanıyor.
Kasım 2023’te araştırmacıların tehdit avcılığı, Agniane Stealer’a bağlı PowerShell adlı bir ikili dosya olan passbook.bat.exe’yi ortaya çıkardı.
Enfeksiyonlar, yasal web sitelerinden aşağıdaki URL modelini takip eden ZIP indirmeleriyle başlar: –
http[s]://
Çıkarılan dosyalar passbook.bat.exe’yi oluşturarak passbook.bat’i karmaşık veri yüküyle bırakıyor. Bu yeniden adlandırılan PowerShell ikili programı, bir dizi karmaşık komutu yürütür.
.webp)
Daha sonra, bir BAT dosyasından bir XORing yükünü dinamik olarak oluşturur ve sıkıştırılmış dosyayı açarak ve yansıtıcı olarak belleğe yükleyerek çağırır.
Bunun yanı sıra veri yükünün tersine çevrilmesi, tehdit aktörlerinin hedeflerine ulaşmalarına yardımcı olur.
Yük, 5640c02b6d125d4e14e19709296b29b8ea34fe416e18b3d227bd79310d54b8df karma değerine sahip bir yürütülebilir dosyayla sonuçlanan bir C# derlemesini tetikler.
Dosya, çevrimiçi sanal alanlar tarafından bilinmiyordu ve Cisco Secure Malware Analytics’teki etkinliğinin taklit edilmesi, korumalı alan önleme tekniklerini ortaya çıkardı.
Ancak ConfuserEx ile karartılan ikili dosya dinamik analizi kısıtlıyor.
.webp)
Örnekte ConfuserEx imzası yoktu ancak benzer bir karışıklık vardı. Tersine çevrildiğinde, kaynaklarında ortaya çıkan başka bir ikili, yansıtıcı bir şekilde yüklendi.
Bu C# örneği, doğrudan ConfuserEx ile karartılan son yükü barındırıyordu.
Passbook.bat.exe, passbook.bat’in gizliliğini kaldırmak için PowerShell’i çalıştırır, ardından tmp385C.tmp’yi (başlık dosyası adı) çalıştırır. Bu da, Agniane Stealer ile sonuçlanan _CASH_78 C# uygulamasını yansıtıcı bir şekilde yükler.
.webp)
Agniane Stealer, temel bir C2 protokolü aracılığıyla kimlik bilgilerini ve dosyaları çalar. Belirli bir URL isteyerek alan kullanılabilirliğini kontrol eder ve aktif C2 alan adlarını bir listeye ekler. Daha sonra dosya uzantılarını bir C2 URL modelinden toplar.
Daha sonra hata ayrıntıları için uzak bir json dosyası ister ve yanıta göre ilerler.
Hırsız, dosyaları, kimlik bilgilerini, şifreleri, kredi kartlarını ve cüzdanları toplamak ve sızdırmak için birçok gizleme ve tespit edilmeyi önleme yöntemi kullandı.
Dahası, kaçırma taktikleri ve geniş veri hedeflemesi, gelecekte daha fazla tehdit aktörünü yeteneklerinden yararlanmaya teşvik edebilir.
IoC’ler
.webp)
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.