Chihuahua Stealer, Tarayıcı Oturum Açma Kimlik Bilgilerini Hasatlamak İçin Google Drive Belgesini İstismar


“Chihuahua Stealer” adlı .NET tabanlı bir Infostealer, sistemlere sızmak ve hassas verileri yaymak için sofistike teknikler kullanılarak keşfedilmiştir.

Ortak kötü amaçlı yazılım stratejilerini alışılmadık derecede gelişmiş özelliklerle harmanlayan bu kötü amaçlı yazılım, ilk olarak bir kullanıcının Google Drive belgesi aracılığıyla gizlenmiş bir PowerShell komut dosyasını yürütmeye kandırıldığı bir Reddit yazı ile vurgulandı.

İlk vektör ve yürütme zinciri

Enfeksiyon zinciri, bir kullanıcının Google Drive veya OneDrive’da saklanan meşru bir belge gibi görünen şeyleri indirmek için aldatılmasıyla başlar.

– Reklamcılık –
Google Haberleri
Chihuahua Stealer
Chihuahua Stealer için enfeksiyon zinciri

Bu belge, yürütme üzerine çok aşamalı bir yük zinciri başlatan gömülü bir PowerShell komut dosyası içerir.

İlk aşama, PowerShell’s aracılığıyla sessizce baz 64 kodlu bir dize çalıştırarak yürütme politikalarını atlayan kısa bir başlatıcı içerir. iex emretmek.

Bu kurulum, anında tespitten kaçınmak için tasarlanmıştır ve saldırganların gerçek kötü niyetli mantığı kodlanmış bir yüke yerleştirmesini sağlar.

Sonraki aşamalar, geri dönüş komutu ve kontrol (C2) sunucularından ek yüklerin getirilmesini içerir.

Rapora göre, bu yükler dinamik olarak indirilir ve yürütülür ve saldırının modüler doğasını sergiler.

Komut dosyası, kalıcılık, son klasördeki özel marker dosyalarını kontrol etmek ve alanlardan başka talimatlar almak için onaltılık string gizleme ve planlanmış işleri kullanır. cdn.findfakesnake.xyz.

Veri Defiltrasyonu ve Stealth teknikleri

Chihuahua Stealer, oturum açma kimlik bilgileri, çerezler, otomatik doldurma bilgileri ve tarama geçmişinin yanı sıra kripto cüzdan uzantıları dahil olmak üzere tarayıcı verilerini hedefler.

Bu verileri topladıktan sonra, “.chihuahua” uzantısı olan bir arşive sıkıştırılır ve Windows CNG API’leri aracılığıyla AES-GCM kullanılarak şifrelenir.

Chihuahua Stealer
Ana program

Bu şifreleme yöntemi, yerel pencere işlevlerinin kullanımı ile birleştiğinde, kötü amaçlı yazılım algılamasına bir karmaşıklık katmanı ekler.

Son aşama, şifrelenmiş verilerin HTTP’ler üzerinden açıklandığını ve kötü amaçlı yazılımların konsol ve pano içeriğini temizleyerek yerel izleri silmek için çaba göstermesini içerir.

Bu operasyon yöntemi, kötü amaçlı yazılım faaliyetlerinin mümkün olduğunca uzun süre fark edilmemesini sağlayarak kasıtlı bir gizlilik girişimini göstermektedir.

Chihuahua Stealer’ın Google Drive’ı ilk enfeksiyon vektörü olarak kullanan yaklaşımı, meşru hizmetlerin kötü niyetli amaçlar için kötüye kullanıldığı büyüyen bir eğilimi göstermektedir.

Çok aşamalı yük dağıtımının kullanılması, planlanmış görev kalıcılığı ve gelişmiş şifreleme yöntemleri, siber güvenlik profesyonelleri için önemli bir zorluğu vurgulamaktadır.

Uzlaşma göstergeleri:

TipGösterge
URLS/IPS– hxxps: // çiçekler[.]elle tutma[.]xyz/index2[.]PHP
-hxxps: // Cat-watches sitesi[.]xyz/
– hxxps: //cdn.findfakesnake.xyz/
Powershell betiği shaAFA819C9427731D71D4516F294355F24EF13207F75134986A0B67A0471B84
Yük shaC9BC4FDC899E4D82DA9DD1F7A08B57C62FC104F93F2597615B626725E12CAE8
Dosya uzantısı.chihuahua
Tespit İmzaları-Powershell.Trojan-downloader.agent.ie1khf
-win32.trojan-stealer.chihuahua.8w7foe

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link