Beyaz yılan hırsızı, artık hem Windows hem de Linux platformlarını hedefleyebilen gelişmiş özelliklere sahip bir bilgi hırsızı, kullanıcı gizliliği ve güvenliği için önemli bir tehdit oluşturuyor.
Bilgi hırsızları, bilgisayar sistemlerine sızacak ve kişisel bilgiler, oturum açma kimlik bilgileri, finansal ayrıntılar vb. dahil olmak üzere kritik verileri alacak şekilde oluşturulur.
.png
)
Çalınan veriler genellikle karanlık ağda satılır veya kimlik hırsızlığı, mali dolandırıcılık, kurumsal casusluk veya şantaj gibi yasa dışı faaliyetler için kullanılır.
Quick Heal’deki son gönderiye göre, White Snake Stealer 1.6’nın güncellenmiş sürümü, tarayıcı desteği, e-posta istemcisi uyumluluğu vb.
Güncellenmiş White Snake Stealer’ın özellikleri
- Kötü amaçlı yazılım Opera, CocCoc, CentBrowser ve Yandex ile uyumludur ve hassas verileri daha geniş bir kullanıcı tabanından çıkarmasına olanak tanır.
- Aşağıdaki e-posta istemcileri Outlook, Foxmail ve ‘The BAT!’ üzerinde desteklenebilir.
- 2FA uygulamaları ve VPN uygulamalarından bilgileri hedefleyebilir ve çıkarabilir
- Tuş vuruşlarını kaydederek, web kamerası görüntülerini yakalayarak ve belirli belge türlerini toplayarak kullanıcı verilerini kolayca tehlikeye atmasına olanak tanıyan tuş günlüğü, web kamerası yakalama ve belge yakalama gibi gelişmiş özellikler dahil edilmiştir.
- Talimatların alınmasına, çalınan verilerin iletilmesine ve ek yüklerin indirilmesine izin vererek C2 sunucusuyla iletişim kurabilir.
- İlgi çekici dosyaları kurbanın makinesinden toplayabilir ve sızdırabilir.
- USB flash sürücüler ve harici sabit sürücüler gibi çıkarılabilir sürücülere kopyalar yaparak USB aygıtları aracılığıyla yayılabilir.
- Kendini başlangıç klasörlerine kopyalayarak yerel kullanıcılar arasında yayılabilir, kullanıcı oturum açtığında veya sistem yeniden başlatıldığında otomatik yürütme sağlar ve güvenliği ihlal edilmiş sistem içinde yayılmasını kolaylaştırır.
Beyaz Yılan Hırsızı Gizleme Teknikleri
Gizlemek için kötü amaçlı yazılıma gelişmiş kod gizleme teknikleri dahil edilmiştir. Bu kasıtlı karartma teknikleri, hırsızın analizini daha da karmaşık hale getiriyor.
Hırsızın ana () yönteminin yürütülmesi sırasında, kötü amaçlı yazılımın sanal ortamda çalışmasını önlemek için Anti VM yöntemi çağrılır.
Bu işlev, sistemin “Üretici” ve “Model” bilgilerini almak için Windows Yönetim Araçları (WMI) sorgularını kullanır.
Daha sonra, bu ayrıntıları VM’lerle ilişkili önceden tanımlanmış dizelerle karşılaştırır. Bir eşleşme algılanırsa, kötü amaçlı yazılım devam etmeden sonlandırılır.
Bundan sonra, hırsız kendini Appdata dizininde çoğaltır ve zamanlanmış bir görev oluşturur. Daha sonra, izlerini kapatmak için orijinal dosyayı kaldırır.
Hırsızın güncellenmiş sürümü artık TOR’u indirip yükleyebilir ve “HiddenServicePort 80 127.0.0.1:2392” yapılandırma yönergesini kullanır.
Bu yönerge, 80 numaralı bağlantı noktasındaki gizli hizmete gelen isteklerin yerel makinede rastgele oluşturulmuş bir bağlantı noktasına (2392) yönlendirileceğini belirtir.
Kötü amaçlı yazılım, gelen istekleri işlemekten sorumlu bir HTTP dinleyici hizmetini çalıştırmak için bu yeniden yönlendirilen bağlantı noktasını kullanır.
İşaret işlevi, TOR ile kurbanın sistemindeki açık bir bağlantı noktası arasında bir bağlantı kurularak uygulanır.
Gizli servis için benzersiz tanımlayıcı olarak hizmet veren soğan adresi, TOR konfigürasyon dosyasındaki “HiddenServiceDir” konfigürasyon direktifi tarafından belirtilen dizin içindeki bir dosyada üretilir ve saklanır.
Saldırgan, TOR ağı üzerinden bu soğan adresini kullanarak gizli hizmete bağlanır.
Saldırgan, HTTPListener() tarafından kolaylaştırılan bu iletişim kanalı aracılığıyla komutlar verebilir veya çalınan verileri sızdırabilir.
Veriler toplandıktan sonra, onu serileştirilmiş bir formata dönüştürmek için XmlSerializer kullanıldı. Ardından, serileştirilmiş veriler RSA şifreleme algoritması kullanılarak sıkıştırılır.
Son olarak, toplanan bilgilere dosya adı (ör. Kullanıcıadı@Bilgisayaradı_report.wsr) dahil olmak üzere etiketler ekler.
Kötü amaçlı yazılım, PUT HTTP yöntemiyle WebClient sınıfının ‘uploadData’ yöntemini kullanarak saldırgan tarafından kontrol edilen önceden belirlenmiş bir sunucuya bağlantı kurar.
Bu, saldırganın virüslü sistemlerden çalınan bilgileri almasına olanak tanır. Kötü amaçlı yazılım, Telegram BOT API’sine bir HTTP GET isteği yürüterek saldırganı bir Telegram sohbeti aracılığıyla bilgilendirir.
Uzlaşma Göstergeleri (IOC’ler)
| b133fccfd54e62681e3549c6947ca1521417745cc7f376c362ba118bcc0de39b |
| b133fccfd54e62681e3549c6947ca1521417745cc7f376c362ba118bcc0de39b |
| e76e206e8ae24f95a329b4f6ecdf1f22b76b07a8c628c0619b781bdba2d85732 |
| fdc83f58a30b80240c5887c6646324600f3896421059b80caddacfdb196287ea |
| c24938a87190df896986a22f9f66fb84401da04cda2a535856b0ce9eacb2bd0d |
| 446278b00e672276ebd77b7a20356f9fdad4aeb0add39d714de87f3c6b17af89 |
| bc7536cb39c4dc0ef7522b46efbc97b87edd958248267932c46cdda2d571a72b |
| 18b27eb6ec1898c6a8422e43e386f901eca8f09949eb63229d53f5041e5d2910 |
| 0d5996e68d654bb1ab31c89ae0a5b3c810f9f761f20df825d4ab5bba3d510bde |
| c219beaecc91df9265574eea6e9d866c224549b7f41cdda7e85015f4ae99b7c7 |
| b133fccfd54e62681e3549c6947ca1521417745cc7f376c362ba118bcc0de39b |
| e76e206e8ae24f95a329b4f6ecdf1f22b76b07a8c628c0619b781bdba2d85732 |
| fdc83f58a30b80240c5887c6646324600f3896421059b80caddacfdb196287ea |
| 138a262303b34cf0da63a5a8d32217db66f97ef5873dbac0f51ada3659c8cb3f |
| fdc83f58a30b80240c5887c6646324600f3896421059b80caddacfdb196287ea |
| 0000028f80066ad99544cc7a79caa649ee72eca2711b1b1128df61ffd13b0657 |
| f8fd7b7eabb7b70e3f5a13bf8526eb620522a3c0aac6caf05b4db83d13e1e625 |
| 0c6705665e94b4d7184fe34185d0ea2706c745ddb71bb45bb194c96ebe2d7869 |
| df78f7993dc9aaee7666a06a6dae52ba0fc6e63e01376474fa96af360cf566de |
| a4191e00cd9dfeda78901ef9dae317e23c73408e7b4c1eeef8de6a8c70fe9db7 |
| b4c9d3abd4fe5b4be84884c933e8d9a6a80ce326e05432a7ecb8a7c28f393941 |
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.