Eğitim organizasyonlarına saldırmak için Stealerium kötü amaçlı yazılım kullanan tehdit aktörleri


Eğitim organizasyonlarına saldırmak için Stealerium kötü amaçlı yazılım kullanan tehdit aktörleri

Eğitim kurumları, emtia bilgi çalıcılarına karşı artan savaşta başlıca hedefler haline gelmiştir.

İlk olarak 2022’de GitHub’da açık kaynaklı bir proje olarak ortaya çıkan Stealerium, başlangıçta “eğitim amaçlı” yayınlandı, ancak hızla yasadışı ilgi çekti.

Rakipler, Phantom Stealer ve Warp Stealer gibi varyantlar oluşturmak için kodu uyarladı ve geliştirdi.

Google Haberleri

Phantom Stealer Fiyatlandırma Modeli (Kaynak – Proofpoint)

Bu araçlar, bir kerelik satın alma veya ücretsiz indirme arayan düşük sofistike aktörler için hazırdır ve hizmet olarak kötü amaçlı yazılım tekliflerinin karmaşıklığını ve maliyetini atlar.

İlk kampanyalar, standart kimlik avı yemlerinden yararlandı – bankaları, adliyeleri ve hayırsever vakıfları ihmal eden – ancak eğitim sektöründeki son faaliyetler saldırı yüzeyini genişletti.

“Ders Kayıt Son Tarihi” ve “Öğrenci Hesabı Süspansiyon Bildirimi” gibi acil konu satırlarına sahip e -postalar, sıkıştırılmış yürütülebilir ürünler, JavaScript ve stealerium yükleri içeren disk resimlerini sundu.

Proofpoint analistleri, Mayıs ve Temmuz 2025 arasında üniversiteleri ve K-12 ağlarını hedefleyen mesajlarda, kampanya başına yüzlerce ila on binlerce e-posta ile değişen hacimlerle bir artış kaydetti.

Stealerium’un GitHub sayfası (Kaynak – Proofpoint)

Uygulandıktan sonra, stealerium varyantları derhal kalıcılık ve keşif yetenekleri oluşturur. PowerShell komut dosyaları, Windows Defender istisnaları eklemek için sıklıkla kullanılırken, planlanan görevler kötü amaçlı yazılımın yeniden başlatılmalardan kurtulmasını sağlar.

Ayrıca, kötü amaçlı yazılım bir dizi yürütür netsh wlan Kaydedilen Wi-Fi profillerini numaralandırmak ve yakındaki kablosuz ağlar için tarama komutları, yanal hareket veya tehlikeye atılan konakçıların coğrafi konumu için kimlik bilgilerini hasat etme niyetini önerir.

Alıntı İsteği (Kaynak – Proofpoint)

Stealerium’un eğitim organizasyonları üzerindeki etkisi derindir. Doğru hırsızlığın ötesinde, tarayıcı çerezlerini, kredi kartı verilerini, oyun oturum jetonlarını ve hatta “NSFW” içeriğinin web kamerası anlık görüntülerini, sekstrasyon şemalarını kolaylaştırmak için söndürür.

Eksfiltrasyon kanalları arasında SMTP posta ataşmanları, Discord Webhooks, Telegram API istekleri, GoFile Yüklemeleri ve daha az bilinen Zulip sohbet hizmeti bulunur.

Eğitim BT ekipleri, bu platformlara olağandışı giden trafik bildirmişlerdir ve Stealerium check-in’lerini ve veri açığa çıkma olaylarını tespit etmek için tasarlanmış ortaya çıkan tehdit kurallarından gelen uyarılar.

Enfeksiyon mekanizması ve kalıcılık

Stealerium’un enfeksiyon mekanizması aldatıcı bir şekilde basittir, ancak teknik olarak sağlamdır.

Sıkıştırılmış bir yürütülebilir veya komut dosyasının yürütülmesi üzerine, kötü amaçlı yazılım, .NET tabanlı Stealer yükünü kullanıcının AppData dizininin altındaki randomize bir yola geri alan ve yükleyen bir PowerShell yükleyici çıkarır (örn., C:\Users\\AppData\Local\\@_\).

Bunu takiben, yükleyici, birden fazla örneği önlemek için bir muteks oluşturarak ve anti-analiz kontrolleri gerçekleştirerek başlayan ana çalkayı ikili çağırır-kullanıcı adı, GPU model, makine kılavuzu ve hatta halka açık bir Github deposundan dinamik blok ışığını indirmek, sandbox ortamlarını çözmek için.

Stealer daha sonra, sistem bilgilerinden türetilmiş bir GUID kullanılarak, kullanıcı oturum açma işleminde veya algılamadan kaçınmak için rastgele aralıklarla yürütülmesini sağlayan planlanmış bir görevi kaydeder.

Eşzamanlı olarak, bir PowerShell komut dosyası, dış nokta korumasını etkili bir şekilde kör ederek dışlama kuralları ekleyerek Windows Defender’da gerçek zamanlı izlemeyi devre dışı bırakır.

Son olarak, Stealerium başsız bir krom işlemi başlatır. --remote-debugging-port Doğrudan tarayıcı belleğinden çerezleri, kimlik bilgilerini ve jetonları çıkarmak için bağımsız değişken – standart şifreleme ve uygulama sanal alanını atlayan gelişmiş bir teknik.

// Example of remote debugging invocation in Stealerium variants
ProcessStartInfo psi = new ProcessStartInfo()
{
    FileName = "chrome.exe",
    Arguments = "--headless --disable-gpu --remote-debugging-port=9222 https://example.com",
    CreateNoWindow = true,
    UseShellExecute = false
};
Process chrome = Process.Start(psi);

Bu çok aşamalı yaklaşım-randomize evrelemeyi, planlı kalıcılığı, anti-analiz kontrollerini ve gelişmiş veri çıkarma işlemini-stealerium’a eğitim ağlarına karşı güçlü bir tehdit oluşturuyor.

Kuruluşlar, bu saldırıları etkili bir şekilde tespit etmek ve azaltmak için alışılmadık Powershell Defender istisnalarını, anormal planlanan görevleri ve anlaşmazlık, telgraf, kancalı ve zulip uç noktalarına ağ bağlantılarını izlemelidir.

Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.



Source link