“Chihuahua Stealer” adlı .NET tabanlı bir Infostealer, sistemlere sızmak ve hassas verileri yaymak için sofistike teknikler kullanılarak keşfedilmiştir.
Ortak kötü amaçlı yazılım stratejilerini alışılmadık derecede gelişmiş özelliklerle harmanlayan bu kötü amaçlı yazılım, ilk olarak bir kullanıcının Google Drive belgesi aracılığıyla gizlenmiş bir PowerShell komut dosyasını yürütmeye kandırıldığı bir Reddit yazı ile vurgulandı.
İlk vektör ve yürütme zinciri
Enfeksiyon zinciri, bir kullanıcının Google Drive veya OneDrive’da saklanan meşru bir belge gibi görünen şeyleri indirmek için aldatılmasıyla başlar.
.png
)
Bu belge, yürütme üzerine çok aşamalı bir yük zinciri başlatan gömülü bir PowerShell komut dosyası içerir.
İlk aşama, PowerShell’s aracılığıyla sessizce baz 64 kodlu bir dize çalıştırarak yürütme politikalarını atlayan kısa bir başlatıcı içerir. iex emretmek.
Bu kurulum, anında tespitten kaçınmak için tasarlanmıştır ve saldırganların gerçek kötü niyetli mantığı kodlanmış bir yüke yerleştirmesini sağlar.
Sonraki aşamalar, geri dönüş komutu ve kontrol (C2) sunucularından ek yüklerin getirilmesini içerir.
Rapora göre, bu yükler dinamik olarak indirilir ve yürütülür ve saldırının modüler doğasını sergiler.
Komut dosyası, kalıcılık, son klasördeki özel marker dosyalarını kontrol etmek ve alanlardan başka talimatlar almak için onaltılık string gizleme ve planlanmış işleri kullanır. cdn.findfakesnake.xyz.
Veri Defiltrasyonu ve Stealth teknikleri
Chihuahua Stealer, oturum açma kimlik bilgileri, çerezler, otomatik doldurma bilgileri ve tarama geçmişinin yanı sıra kripto cüzdan uzantıları dahil olmak üzere tarayıcı verilerini hedefler.
Bu verileri topladıktan sonra, “.chihuahua” uzantısı olan bir arşive sıkıştırılır ve Windows CNG API’leri aracılığıyla AES-GCM kullanılarak şifrelenir.
Bu şifreleme yöntemi, yerel pencere işlevlerinin kullanımı ile birleştiğinde, kötü amaçlı yazılım algılamasına bir karmaşıklık katmanı ekler.
Son aşama, şifrelenmiş verilerin HTTP’ler üzerinden açıklandığını ve kötü amaçlı yazılımların konsol ve pano içeriğini temizleyerek yerel izleri silmek için çaba göstermesini içerir.
Bu operasyon yöntemi, kötü amaçlı yazılım faaliyetlerinin mümkün olduğunca uzun süre fark edilmemesini sağlayarak kasıtlı bir gizlilik girişimini göstermektedir.
Chihuahua Stealer’ın Google Drive’ı ilk enfeksiyon vektörü olarak kullanan yaklaşımı, meşru hizmetlerin kötü niyetli amaçlar için kötüye kullanıldığı büyüyen bir eğilimi göstermektedir.
Çok aşamalı yük dağıtımının kullanılması, planlanmış görev kalıcılığı ve gelişmiş şifreleme yöntemleri, siber güvenlik profesyonelleri için önemli bir zorluğu vurgulamaktadır.
Uzlaşma göstergeleri:
| Tip | Gösterge |
|---|---|
| URLS/IPS | – hxxps: // çiçekler[.]elle tutma[.]xyz/index2[.]PHP -hxxps: // Cat-watches sitesi[.]xyz/ – hxxps: //cdn.findfakesnake.xyz/ |
| Powershell betiği sha | AFA819C9427731D71D4516F294355F24EF13207F75134986A0B67A0471B84 |
| Yük sha | C9BC4FDC899E4D82DA9DD1F7A08B57C62FC104F93F2597615B626725E12CAE8 |
| Dosya uzantısı | .chihuahua |
| Tespit İmzaları | -Powershell.Trojan-downloader.agent.ie1khf -win32.trojan-stealer.chihuahua.8w7foe |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!