Açık kaynaklı veri hırsızları, çok yönlülükleri nedeniyle hızla popülerlik kazanıyor ve tehdit aktörlerine kötü niyetli hedefler için yararlı keşif araçları sağlıyor.
Açık kaynaklı veri hırsızları, etkili bir şekilde tasarlanıp yapılandırılırsa gizli olabilir ve bu da onların tespit edilmesini zorlaştırır.
Çoğunlukla sessizce çalıştıkları, meşru operasyonlara dayandıkları ve normal ağ trafiğine karıştıkları için güvenlik sistemlerinin zararlı eylemlerini tespit etmesi zor olabilir.
Cyble Research and Intelligence’daki (CRIL) siber güvenlik araştırmacıları, 14 Eylül’de ‘Exela-V2.0-main.rar’ zip dosyasını keşfetti ve yeni bir ‘Exela’ hırsızını ortaya çıkardı.
17 Ağustos 2023’te kaynak kodunun bir GitHub deposuna kadar izi sürüldü ve araştırmacı Yogesh Londhe ilk başta bunu fark etti.
Exela Hırsızı Discord Kullanıcılarına Saldırıyor
Python yardımcı programı Exela Stealer, Discord webhook URL’lerini kullanarak özel bilgileri gizlice toplayarak, işleyişini ve etkilerini kapsamlı bir şekilde analiz etme konusunda ilgi uyandırıyor.
Oluşturucu Python 3.10.0 veya 3.11.0 üzerinde çalışır ve tehdit aktörünün tercihlerine göre hırsızı oluşturur.
Aşağıda özelliklerden bahsettik: –
- PompaDosyası
- GetIcon
- AntiVM
- Anlaşmazlık Enjeksiyonu
- Keylogger
- Başlatmak
- Sahte Hata Mesajı
- Şaşırtma
Hırsız, ‘Exela | Hırsız | açık | Tepe.’ Bulunursa durur ve ‘mutex zaten mevcut’ ifadesini yazdırır. Aksi takdirde sahte bir hata mesajı kullanarak veri hırsızlığına yönelir.
Hırsız, UUID’yi ve bilgisayar adını toplayarak hata ayıklamayı veya sanallaştırmayı kontrol eder, ardından bunları sabit kodlanmış bir listeyle karşılaştırır ve eşleşme olup olmadığını sonlandırır.
Bunun dışında hırsız tarafından aşağıdakileri yapmak için çeşitli yöntemler kullanıldı: –
- Sanal ortamları tespit edin
- Dosyaları inceleyin
- Dizeleri inceleyin
- Süreçleri inceleyin
- Sanallaştırma platformlarına bağlı modüllerin yüklenmesi
Anti VM İşlevleri
Aşağıda kullanılan tüm Anti VM işlevlerinden bahsettik: –
- Vmcik
- kontrol_anasistem adı
- check_processes
- Dosyaları kontrol et
- check_gdb
- Hiper Yöneticiyi Kontrol Et
- korumalı alan()
Exela Stealer, gizli ve sistem öznitelikleriyle kendisini ‘C:\appdata\local\ExelaUpdateService’ içinde ‘Exela.exe’ olarak gizleyerek kalıcılığa ulaşır.
Kopyalamanın ardından hırsız, kalıcılık için Windows Kayıt Defteri’ni (regedit) veya Görev Zamanlayıcı’yı (schtasks) kullanarak kullanıcı tarafından seçilen başlangıç girdisini oluşturur.
Hırsız, yetkisiz erişimi ve veri toplamayı mümkün kılmak için Discord istemci dosyalarını değiştirir, ardından kodu GitHub deposundan özel enjeksiyonlarla değiştirir ve verileri saldırganın web kancası URL’sine gönderir.
Ayrıca aşağıdaki web tarayıcı türlerini de hedefler: –
- Chromium tabanlı tarayıcılar
- Firefox Tarayıcısı
Çalıcı, toplanan verileri benzersiz bir klasöre kaydeder, özel öğelerle ayrıntılı bir rapor mesajı birleştirir, bunu Discord web kancası aracılığıyla gönderir ve ardından ZIP dosyasını ve geçici dizini siler.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Risklerden kaçınmak için her zaman saygın kaynaklardan yazılım indirdiğinizden emin olun.
- Veri sızmasını engellemek için her zaman ağ iletişimini izlemeye devam edin.
- Her zaman sağlam bir güvenlik sistemi ve AV aracı kullanın.
- Sisteminizi ve yüklü yazılımınızı en son güncellemeler ve güvenlik yamalarıyla güncel tuttuğunuzdan emin olun.
850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.