Karmaşık ve sofistike saldırılar üretmek için tehdit aktörleri tarafından “Prynt” gibi bilgi hırsızları kullanılır.
Bu hırsızları, hedeflenen kuruluşlardan ve bireylerden önemli bilgileri çalmak için kullanırlar. Bu karmaşık saldırılar, tehdit aktörlerinin karmaşık yükleri ve fidye yazılımlarını dağıtmasına da olanak tanır.
Son zamanlarda, CYFIRMA Araştırma ekibindeki siber güvenlik analistleri, Prynt bilgi hırsızının kullanımının arttığını belirledi.
Tehdit aktörlerinin Prynt’i yapılandırmasının yaygın bir yolu, “oluşturucu” olarak bilinen bir aracın yardımıyla kötü amaçlı yazılımın daha sonra verimli bir şekilde yapılandırılabilmesidir.
Prynt Kötü Amaçlı Yazılım Analizi
Yakın zamanda, CYFIRMA’daki güvenlik analistleri tarafından, C/C++ ile yazılmış ve 32-bit konsol ikili dosyası olan ve “Prynt” olarak adlandırılan bir bilgi hırsızı içeren bir kamu havuzundan bir örnek toplanmış ve analiz edilmiştir.
Prynt, virüslü sistemlerden aşağıdaki temel bilgileri çalma yeteneğine sahiptir:-
- Dosyaları ve süreçleri maddeleştirme
- İşlemleri gizleme
- Kodu PE dosyalarına enjekte etme
- Web tarayıcılarından kimlik bilgilerini çalın
- Kayıt defteri değişiklikleri
- Arka kapı üzerinden ağ iletişimi
- Ekran görüntüsü yakalayın
- Hedeflenen dizinlerden dosyaları çalın
- Sistem Bilgilerini Toplama
Prynt, proses enjeksiyonu için tersine mühendislik ve adli bellek analizinden yararlanır. Prynt tarafından oluşturulan kötü amaçlı kodu meşru AppLaunch.exe işlemine eklemek için tehdit aktörü bu karmaşık tekniği kullanır.
Kötü amaçlı kodun başka bir işlem içinde çalıştırılması, kötü amaçlı kodun bu işlemin kaynaklarına erişmesine izin verebilir, örneğin: –
Statik Verileri Yazdır
- Dosya: Prynt.Exe
- Alt sistem: Konsol
- MD5: Bcd1e2dc3740bf5eb616e8249d1e2d9c
- SHA1: 230f401260805638aa683280b86af2231cf73f93
- SHA256: 04b528fa40c858bf8d49e1c78f0d9dd7e3bc824d79614244f5f104baae628f8f Dosya Türü: PE32 Yürütülebilir (Konsol) Intel 80386, MS Windows için
Hedefler ve Kaynak Bölgeler
“Prynt” bilgi hırsızına dayanan saldırıların çoğundan başlıca aşağıdaki coğrafi bölgelerden gelen tehdit aktörleri sorumludur:-
Bu kampanyalarda, tehdit aktörleri 40’tan fazla ülkeden varlıkları hedef aldı ve hedeflenen sektörler:-
- Çok Satırlı Perakende
- Sağlık hizmeti
- Otomotiv
- Devlet
- endüstriyel holdingler
- BT Hizmetleri
- Finansal hizmetler
- Terleme Altyapısı
- Medya ve Eğlence
- Yağ ve gaz
- Emlak
- Yiyecek ve İçecekler
- misafirperverlik
- İnşaat
- teknoloji
- Ev ürünü
Birkaç Tehdit Aktörünün, saldırılarında kullanılan yüklerin çeşitliliğini genişletmek için RedLine hırsızıyla birlikte Prynt bilgi hırsızını kullandığı bildiriliyor.
Mevcut tehdit ortamı, yaygın olarak yaygın olarak görülen kötü amaçlı yazılım türleri olan bilgi hırsızlarının egemenliğindedir. Tehdit aktörleri, bilgi hırsızlarını esas olarak sistem verilerini ve üzerinde depolanan hassas verileri çalmak için kullanır.
Ayrıca, bu bilgiler, daha sonraki bir aşamada fidye yazılımı veya diğer siber saldırılar gerçekleştirmek için tehdit aktörleri tarafından kullanılabilir.
Sıfır Güven Ağı ile Siber Saldırı – Ücretsiz E-Kitap İndirin