Kimlik avı siteleri aracılığıyla kripto para kullanıcılarını hedefleyen “Creal Stealer” adlı yeni bir kötü amaçlı yazılım türü bulundu. Creal bilgi hırsızı, kripto para cüzdanlarına erişmek için oturum açma kimlik bilgileri ve özel anahtarlar gibi hassas bilgileri çalar.
Cyble Araştırma ve İstihbarat Laboratuarlarındaki (CRIL) araştırmacılara göre, Creal bilgi hırsızı, meşru kripto para birimi değişimi veya cüzdan web siteleri gibi görünen kimlik avı web siteleri aracılığıyla dağıtılıyor.
Kurban kimlik avı sitesine oturum açma kimlik bilgilerini veya özel anahtarlarını girdiğinde, Creal bilgi hırsızı bilgileri otomatik olarak çalar ve saldırganın sunucusuna gönderir.
CRIL raporu, “Creal Stealer’ın oluşturucusu ve kaynak kodu GitHub’da mevcuttur, bu da TA’ların kodu gereksinimlerine uyacak şekilde değiştirmesini sağlar” dedi.
“Bu, Creal Stealer’ın kaynak kodundan çeşitli hırsızların ortaya çıkmasına neden olarak kullanıcılar için önemli bir tehdit oluşturabilir.”
Creal Information Stealer: Çalışma modu
CRIL araştırmacıları, GitHub’da daha fazla kötüye kullanılabilen ve yeteneklerini artırmak için üzerinde çalışılabilen Creal bilgi hırsızının oluşturucusunu ve kaynak kodunu buldu. CRIL ayrıca bir kripto para madenciliği platformunu taklit eden bir kimlik avı web sitesi buldu.
Bu sahte web sitesi, kullanıcılara Creal bilgi hırsızı bulaştırmak için kullanıldı.
Creal bilgi hırsızını barındıran Phishing web sitesi (Fotoğraf: Cyble)
‘Kryptex’ kimlik avı web sitesiyle ilgili teknik ayrıntılar
Creal bilgi hırsızı, hileli Kryptex web sitesinde şüphelenmeyen kullanıcılara yayıldı. Dropbox’taki Creal yükü aşağıdaki URL’de bulundu –
- hxxps[:]//www[.]açılan kutu[.]com/s/dl/x4vgcaac6hcdgla/kryptex-setup-4.25.7[.]zip.
İkili dosyası, Python’da PyInstaller kullanılarak derlendi –
- f3197e998822bc45cb9f42c8b153c59573aad409da01ac139b7edd8877600511
PyInstaller kullanılarak yapılan dosyanın içeriğini çıkardıktan sonra, Creal payload’ı PYC dosyası olarak bulundu.
Creal bilgi hırsızı dosyası (Fotoğraf: Cyble)
Açık kaynak hırsızı Creal, YouTube’da kripto dolandırıcılığı için kullanıldı. 10 milyondan fazla abonesi olan bir YouTube kanalı orijinal içeriğinden silindi. Raporlara göre, siber suçlular tarafından YouTube kanalına erişim, oturum çerezlerinden yararlanılarak elde edildi.
Siber suçlular, YouTube kanalına kripto para birimini detaylandıran iki sahte video ekledi.
Creal hırsızının teknik detayları
- URL – kriptoteks[.]yazılım
1.1 hxxps[:]//www.dropbox[.]com/s/dl/x4vgcaac6hcdgla/kryptex-setup-4.25.7[.]zip
- Zip arşivi – 929e6f2c8896059c72368915abcaefa2
7122f0b88607061806fd62282e8b175ae28b7e29
f3197e998822bc45cb9f42c8b153c59573aad409da01ac139b7edd8877600511 - Creal bilgi hırsızı SHA1 SHA256 – bb2ca78ffff72d58599d66bf9b2f0ae6
20dcb84660e5f79a98c190d3d455fce368d96f35
4ee417cbefa1673d088a32df48b8182bdad244541e8dc02faf540b9aa483fdcb
Creal bilgi hırsızı: Grevden önce gözetleme
Creal bilgi hırsızı, çalınan kullanıcı adının, hırsız ikili dosyasındaki ‘kara listeye alınmış Kullanıcılar’ listesinde olup olmadığını kontrol eder. Kimlik bilgileri gerçekten listedeyse, Creal’ın yürütülmesi durdurulur. Veya korumalı bir ortamda çalışıp çalışmadığını kontrol etmeye devam eder.
Creal, hedeflenen cihazın ana bilgisayar adını kontrol eder. socket.gethostname() yöntem. Ana bilgisayar adının kara listede olup olmadığını kontrol eder. Arama sonucu olumluysa, aynı sonlandırma eylemi gerçekleştirilir. Creal bilgi hırsızı kendini sonlandırmak için şu komutu yürütür: os._exit(0) işlev.
Bilgi çalan kötü amaçlı yazılım, makinenin MAC adresinin kara listeye alınmış MAC adreslerinde olup olmadığını kontrol eder.
Creal bilgi hırsızı, IP adresini almak için önce bir curl komutu çalıştırarak ‘sblacklist’ adlı kara listedeki genel IP adresini kontrol eder. IP kara listede bulunursa Creal çalışmaz.
Creal ayrıca, yokluğunda modülleri pip kullanarak kuracağı belirli Python modüllerini kontrol ederdi.
Ortam kontrolünün ardından, Creal bilgi hırsızı kendisini şuraya kopyalayarak kalıcılığını koruyacaktır: AppData\\Roaming\\Microsoft\\Windows\\Başlat Menüsü\\Programlar\\Başlangıç\\ dizini kullanarak Shutil.Copyfileobj() işlev.
Bundan sonra Creal, onları hedeflemek için diğerlerinin yanı sıra passwWords, GamingZip, CookiCount ve WalletsZip gibi değişkenlere değerler atayacaktı. Tarayıcıdan oturum açma kimlik bilgilerini ve tanımlama bilgilerini çalabilir. Discord web kancasını kullanarak verileri sızdırıyor.
Hedeflenen uygulamalar (Fotoğraf: Cyble)
Creal bilgi hırsızı GitHub deposu
Vahşi doğada 50’den fazla Creal bilgi hırsızı örneği bulundu ve bunun tehdit aktörlerinin elinde olası kullanımını gösteriyor.
Creal bilgi hırsızı: Dikkat adımları
Kripto para kullanıcılarını hedef alan kampanyalar bir süredir siber güvenlik haberlerinde yer alıyor.
The Cyber Express’in yakın zamanda bildirdiğine göre, Tehdit Aktörleri, Silikon Vadisi Bankasının bu son çöküşünden yararlanarak, kripto para birimi dolandırıcılığı da dahil olmak üzere, şüphesiz kurbanları hedef alan çeşitli kötü niyetli faaliyetler yürütüyor.
CRIL raporuna göre, siber suçlular, maliyetleri minimumda tutarken karmaşık ve özel saldırılar gerçekleştirmelerine olanak sağladığından, kötü amaçlı yazılımlarında açık kaynak kodunu kullanma pratiğini giderek daha fazla benimsiyor.
CRIL raporu, kripto para birimi kullanıcılarına borsa veya cüzdan web sitelerine girerken dikkatli olmalarını ve herhangi bir hassas bilgi girmeden önce web sitesinin gerçekliğini doğrulamalarını tavsiye ediyor.
Ayrıca, kullanıcıların kripto para varlıklarını hırsızlığa karşı korumak için iki faktörlü kimlik doğrulama ve diğer güvenlik önlemlerini kullanmaları önerildi.
Cyble, ilgili yetkilileri Creal bilgi hırsızı hakkında bilgilendirdi ve yayılmasını azaltmak için çalışıyor. Rapor ayrıca, diğer kuruluşların kötü amaçlı yazılımları tanımlamasına ve azaltmasına yardımcı olmak için bir uzlaşma göstergeleri (IOC’ler) listesi de sağlamıştır.