Karanlık ağda yeni bir tehdit ortaya çıktı: Editbot hırsızı. Yakın zamanda Cyble Research and Intelligence Labs (CRIL) tarafından keşfedilen bu Python tabanlı bilgi hırsızı, sosyal medya kullanıcılarının hassas verileri için önemli bir risk oluşturuyor.
Başlangıçta VirusTotal’daki bir WinRAR arşiv dosyasında tespit edilen Editbot hırsızı, minimum tespit oranları sergileyerek CRIL tarafından daha fazla analiz yapılmasını sağladı.
Ortaya çıkan şey, tespit edilmekten kaçınmayı, ek yükler indirmeyi ve kurbanın sisteminde kalıcılık oluşturmayı amaçlayan, titizlikle tasarlanmış, çok aşamalı bir saldırıydı.
Editbot Stealer: Dark Web’deki Yeni Bilgi Hırsızı
Tehdit Aktörleri (TA’lar) tarafından yürütülen kampanya, sonraki aşamadaki yükleri almak için Gitlab gibi açık kaynaklı kod paylaşım platformlarından yararlanmayı içeriyor. Python tabanlı bir hırsız olan indirilen veri, şifreler, çerezler ve web verileri gibi kritik bilgileri çalma konusunda ustadır. Editbot hırsızı, kötü niyetli amacını tamamlamak amacıyla çalınan verileri asistanlara geri iletmek için bir Telegram kanalı kullanıyor.
Cyble Araştırma ve İstihbarat Laboratuvarları’nın (CRIL) 5 Aralık’taki araştırması, VirusTotal’da potansiyel olarak kötü amaçlı bir RAR dosyasını ortaya çıkardı ve benzer dosyalar kısa bir süre içinde ortaya çıktığından hızlı bir inceleme yapılmasına yol açtı. Tespit edilen arşiv dosyası, ‘geri gönderilecek kusurlu ürün’ iddiasıyla kullanıcıları hedef alan yanıltıcı bir sosyal medya dolandırıcılığıyla bağlantılı. TA’lar, kullanıcıları aldatıcı sayfalarla etkileşime girmeye teşvik etmek için popüler ürünlerin çekiciliğinden yararlanır ve kullanıcı etkileşimi yoluyla erişimlerini genişletir.
Editbot hırsızı, “Ekran Görüntüsü Ürün Fotoğrafı Sample.bat” adlı birinci aşama kötü amaçlı toplu iş dosyasını ve “manifest.json” adlı bir JSON dosyasını kullanarak çok aşamalı bir enfeksiyon stratejisi kullanıyor. PowerShell komutları aracılığıyla TA’lar, her oturum açma oturumunda Python tabanlı hırsızı indirip çalıştırarak kalıcılığı sağlar.
Editbot Stealer’ın Özellikleri ve Yetenekleri
Editbot hırsızının teknik analizi, son derece karmaşık bir kötü amaçlı yazılım parçasını ortaya çıkarıyor. Python betiği “libb1.py”, çalışan işlemleri sıralar, çeşitli web tarayıcılarından hassas bilgileri çıkarır ve verileri belirli bir Telegram kanalına iletir.
Yürütmenin ardından hırsız, çalışan işlemleri yakalar ve Chrome, Firefox, Edge, Opera, Brave-Browser, CocCoc ve Chromium gibi tarayıcılardan hassas bilgileri çıkarır. Çerezler, Oturum Açma Verileri, Web Verileri ve Yerel Durum gibi dosyaları titizlikle alır ve bunları %temp% klasörü içindeki belirlenmiş bir dizine kaydeder.
Editbot hırsızı, şifrelerin şifresini çözerek ve oturum açma ayrıntılarını, URL’leri ve şifresi çözülen şifreleri “pass.txt” adlı bir metin dosyasına kaydederek daha da ileri gider. Aynı zamanda SQLite veritabanı dosyası “Çerezler”i de inceleyerek çerez bilgilerini çıkarır ve ayrıntıları bir sosyal medya sitesiyle ilişkilendirilmişse “cookie.txt” dosyasında saklar.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.