Karanlık web pazarlarına yeni bir bilgi hırsızı geldi. QBit hırsızı olarak bilinen bu bilgi hırsızı, QBit Hizmet Olarak Fidye Yazılımı (RaaS) grubunun yeteneklerini ve özelliklerini karanlık web portalında yayınlamasıyla dikkatleri üzerine çekti.
Çalıcıyla ilişkilendirilen fidye yazılımı, kurban sistemlerinden dosya alma yeteneğine sahip olup, yerleşik güvenlik sistemlerinden tespit edilmesini engelliyor. qBit hırsızı, fidye yazılımı grubu tarafından 9 Ekim 2023’te tanıtıldı ve benzersiz yetenekleri ve özellikleriyle öne çıktı.
QBit Stealer’ı Anlamak; Özellikler ve Yetenekler
Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL), QBit hırsızının kaynak kodunun dark web kanallarında ücretsiz olarak satıldığını tespit etti. Bilgi hırsızının Uç Nokta Tespit ve Yanıt çözümleri (EDR’ler) tarafından tespit edilemediği iddia ediliyor ve kurbanlarını hedeflemek için gelişmiş özelliklere sahip.
Bu araç, dosyaları Mega’ya hızlı bir şekilde yükleyerek yeteneğini gösterir.[.]Yeni Zelanda, gelişmiş bir eşzamanlılık motoru kullanıyor.
CRIL’e göre QBit hırsızı, piyasadaki diğer bilgi hırsızlarından farklı olarak belirli uzantılara sahip dosyaları seçici olarak hedef alıyor ve bu da fidye yazılımı operasyonlarında bir sızma aracı olarak potansiyel rolüne işaret ediyor.
CRIL’in analizi, qBitStealer’ın kaynak kodunun compile.bat, config.json, internal.go, qBitStealer.go, Function.go ve megaFunc.go dahil olmak üzere birçok önemli dosyadan oluştuğunu ortaya çıkardı.
Ek olarak kod, hata ayıklamayı önleme ve sanallaştırmayı önleme/sanal alan tekniklerini kullanarak daha yüksek düzeyde kaçınma sağlar.
Sızan Kaynak Kodundan Ayrıntılar
Sızan kaynak kodunda bir toplu komut dosyası ve “config.json” adlı bir yapılandırma dosyası yer alıyor. Bu dosya Mega için API kimlik bilgileri gibi kritik parametreleri özetlemektedir.[.]nz kimlik doğrulaması, dosya sistemi yolu, çalınan klasör adı, maksimum dosya boyutu, büyük dosyalar için bölünmüş boyut, hedeflenen dosya uzantıları ve çalışma modu (manuel veya otomatik).
Ek olarak, QBit Stealer veri sızdırma konusunda titiz bir yaklaşım benimser. Mega’nın bir örneğini yaratır[.]nz API, veri çalmak için belirlenen yolları hedefler ve çalınan verileri “.tar.gz” dosyasına dönüştürür. Dosya daha sonra eş zamanlı yükleme için daha küçük parçalara bölünerek karmaşık ve etkili bir sızdırma süreci sergilenir.
QBit Hırsızına Karşı Azaltma
QBit hırsızı, karanlık web platformlarında tanıtılan bir başka tehdide işaret ediyor. Cyber Express daha önce benzersiz yeteneklere sahip ve tespitleri engelleyen yeni bilgi hırsızlarını haftalarca kapsamıştı.
Bu özel bilgi hırsızları, düşük dereceli bilgisayar korsanları ve fidye yazılımı gruplarına bile kolayca erişilebilen özelliklerle dolu olarak gelir ve bu da onu yaklaşan bir karanlık web tehdidi haline getirir.
qBitStealer’ın kaynak kodunun yayınlanması, daha az gelişmiş tehdit aktörlerini çekebileceği ve siber saldırıların sayısını yanlışlıkla artırabileceği için yüksek bir risk teşkil ediyor.
Benzersiz dosya hedefleme özelliği, fidye yazılımı saldırılarında gelişen taktiklerle uyumlu olup, fidye yazılımı grubunun farklı sektörlerdeki kullanıcılar için tehdit oluşturmasına neden olur.
CRIL, güncellenmiş EDR çözümleriyle uç nokta güvenliğinin güçlendirilmesini, yetkisiz veri aktarımlarını izlemek ve engellemek için Veri Kaybını Önleme (DLP) çözümlerinin dağıtılmasını ve tüm cihazlarda saygın antivirüs ve internet güvenliği yazılımlarının kullanılmasını önerir.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.