Karanlık ağa yeni bir bilgi hırsızı geldi. Atomic Stealer (AMOS) olarak bilinen bu bilgi çalan kötü amaçlı yazılım, ölü çerez restorasyonu ve Xehook Stealer’ın yükselişiyle ilişkili bir kimlik avı kampanyası için tasarlanmıştır.
Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL) kısa süre önce AMOS Stealer’ın güncellenmiş bir sürümünün meşru Mac uygulamaları gibi görünen aldatıcı web siteleri aracılığıyla dağıtıldığı bir kampanya buldu.
Geçmişte Google Ads aracılığıyla dağıtılmasına rağmen Atomic Stealer’ın yeni sürümü Parallels Desktop, CleanMyMac, Arc Tarayıcı ve Pixelmator gibi web siteleri aracılığıyla yayınlanıyor.
Atomic Stealer’ın Karmaşık Dünyası: Son Güncellemeler ve Yetenekler
AMOS’un sık sık yapılan güncellemelerle işaretlenen sürekli gelişimi, geliştiricinin işlevselliklerini kötü amaçlarla geliştirme konusundaki kararlılığını vurgulamaktadır. Kötü amaçlı yazılım, birden fazla tarayıcıya erişimini genişleterek çeşitli cüzdanlardan otomatik doldurmaları, şifreleri, çerezleri ve finansal ayrıntıları çıkarmasına olanak sağladı. Üstelik AMOS, veri hırsızlığının ötesine geçerek web paneli, MetaMask kaba kuvvet, kripto kontrolü ve DMG yükleyicisi gibi ek hizmetler sunuyor.
CRIL’e göre AMOS destanındaki büyük bir gelişme, süresi dolmuş Google Chrome çerezlerini yeniden canlandırmaya yönelik yeni keşfedilen yeteneğidir. Bu, bilgi hırsızlığı pazarında dönüştürücü bir trende işaret ediyor ve tehdit aktörlerine uzun süreli yetkisiz erişim için güçlü bir araç sağlıyor.
Süresi dolmuş çerezleri geri yüklemek için bir siber suç forumunda ücretsiz bir kodun yayınlanması, düşük profilli tehdit aktörlerinin bu yöntemi kötü amaçlı yazılım yüklerine dahil etmelerinin kapısını açtığı için araştırmacılar arasında endişelere yol açtı.
Xehook Stealer: Hızlı Uyarlanabilir Bilgi Hırsızı
20 Ocak 2024’te Xehook Stealer bir siber suç forumunda ortaya çıktı ve çerez canlandırma özelliğinin 2-3 gün içinde hızlı bir şekilde entegre edildiğini gösterdi. Xehook Stealer’ın bu hızlı uyarlaması, tehdit aktörlerinin kötü amaçlı yeteneklerini geliştirmek için yeniden canlandırılmış çerezler yöntemini kullanması nedeniyle InfoStealers arasında büyüyen bir eğilimin altını çiziyor.
Analiz ayrıca, tüm AMOS hırsızı yüklerinin “5.42.65.108” olarak tanımlanan ortak bir Komuta ve Kontrol merkezini (C&C) paylaştığından, kampanyalar veya Tehdit Aktörleri (TA’lar) arasında potansiyel bir bağlantıyı da ortaya çıkardı. Bu C&C sunucusu daha önce Malwarebytes tarafından hazırlanan Atomic Stealer raporunda belgelenmişti ve bu durum, bu kötü amaçlı yazılım yükleri arasında bir korelasyon olduğunu öne sürüyordu.
Daha derin içgörüler elde etmek için CRIL, AMOS’un ilk bulaşmasına, sistem bilgilerinin toplanmasına ve tarayıcı verilerinin çıkarılmasına odaklanan kapsamlı bir teknik analiz gerçekleştirdi. AMOS’un paralelsdesktop.pro, cleanmymac.pro, arcbrowser.pro ve pikselmator.pics gibi aldatıcı siteler aracılığıyla yayıldığı tespit edildi.
Bilgi Hırsızlarının Teknik Detayları
Çalıcı, dosya içindeki dizeleri gizlemek için yeni bir şifreleme yöntemi kullanır, çalışma zamanında gerçek dizelerin şifresini dinamik olarak çözer ve alır. Ayrıca kurbanın Mac bilgisayarı hakkında yazılım, donanım ve ekran ayrıntıları da dahil olmak üzere kapsamlı bilgiler toplamak için system_profiler aracını kullanıyor.
AMOS, Safari, Chrome, Brave, Edge, Opera, OperaGX ve Vivaldi dahil olmak üzere çeşitli Chromium tabanlı tarayıcıları hedefler. Kötü amaçlı yazılım, Çerezler, Ağ/Çerezler, Oturum Açma Verileri ve Web Verileri gibi belirli dizinlerden hassas verileri çıkarır. Ayrıca, cookie.sqlite, formhistory.sqlite, key4.db ve logins.json gibi dosyalardan bilgiler de dahil olmak üzere Mozilla Firefox verilerini alır.
Hırsız, Electrum, Binance, Exodus, Atomic ve Coinomi gibi cüzdanları hedef alarak kripto cüzdanlarıyla ilgili bilgilerin çıkarılmasını başlatır. Ek olarak, özellikle Google Chrome uygulamasını hedef alarak macOS anahtar zincirinden ‘Chrome’ etiketine bağlı şifreyi getirir.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.