Karanlık web pazarlarına yeni bir bilgi hırsızı girdi. “Xehook Stealer” olarak adlandırılan bu .NET tabanlı kötü amaçlı yazılım, Windows işletim sistemlerini hedeflemek için titizlikle hazırlanmış olup, şüphelenmeyen kurbanları hedef alacak inanılmaz özelliklere sahiptir.
Siber Güvenlik Araştırma ve İstihbarat Laboratuvarı (CRIL) tarafından yapılan analizlerle ortaya çıkarılan yetenekleri, özellikle kripto para birimleri ve 2FA uzantılarına odaklanan hassas verilere sızmak ve bunları çıkarmak için tasarlanmış gelişmiş bir aracı ortaya çıkardı.
Xehook Stealer'ın Evrimi ve Kökenleri
Xehook Stealer'ın geçmişi, ilk olarak Mart 2023'te CRIL tarafından rapor edilen Cinoshi projesine dayanan yeraltı siber suç forumlarına kadar uzanıyor.
Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) kisvesi altında faaliyet gösteren Cinoshi projesi, ücretsiz bir hırsız ve web paneli sunarak daha sonra daha gelişmiş bilgi hırsızlığına dönüşecek olanın temelini attı.
Agniane Stealer'ın Ağustos 2023'te ortaya çıkışı, başlangıç notlarına ve operasyonel modellerine yansıyan Cinoshi projesiyle bariz bağları olan çok önemli bir dönüm noktası oldu.
CRIL'e göre, “thx4drugs” takma adı altındaki bir siber suç kuruluşu, Ocak 2024'te kötü şöhretli bir siber suç forumunda Xehook Stealer'ı tanıttı.
Bu açıklama, öncüllerinden devralınan yetenekleri iyileştirme ve geliştirme çabalarının doruk noktasına işaret ediyordu. Operasyonel verimliliğe yönelik titiz bir yaklaşımın altını çizen, gerçek zamanlı bildirimler için Telegram ile kusursuz entegrasyon dikkat çekiciydi.
Bilgi Hırsızına İlişkin Teknik Bilgiler
Xehook Stealer'ın teknik inceliklerinin araştırılması, hassasiyet ve verimlilik göz önünde bulundurularak tasarlanmış çok yönlü bir aracı ortaya çıkarır.
Kötü amaçlı yazılımın .NET'te kodlanan mimarisi, 110'dan fazla kripto para birimi ve 2FA uzantısından yararlanarak Chromium ve Gecko tabanlı tarayıcılardan dinamik veri toplanmasını kolaylaştırıyor.
Ayrıca, Xehook Stealer'ın uyarlanabilirliği, çeşitli masaüstü kripto para birimi cüzdanlarına verdiği destek ve hedeflenen veri çıkarımı için yinelenen bir dosya yakalayıcı ile öne çıkıyor.
Xehook Stealer'ın dağıtım kanallarının daha yakından incelenmesi, SmokeLoader ikili dosyalarının ortak vektörler olduğunu ortaya çıkardı; bu da tehdit aktörleri tarafından benimsenen aktif bir yayılma stratejisine işaret ediyor.
Agniane Stealer'da gözlemlenen kod örtüşmeleri, evrimsel kökeni daha da doğruluyor ve zaman içinde yeteneklerin aşamalı olarak iyileştirildiğini gösteriyor.
İşlevsel Genel Bakış ve İşleyiş Yöntemleri
Xehook Stealer'ın işlevselliği, yalnızca veri toplamanın ötesine geçerek operasyonel verimliliği en üst düzeye çıkarmayı amaçlayan bir dizi özelliği kapsar.
Özel trafik botları için bir API'nin dahil edilmesi, tehdit aktörleri için yasa dışı faaliyetleri kolaylaştırarak otomasyona yönelik stratejik bir dönüm noktasını vurguluyor.
Ayrıca, ölü Google çerezlerini kurtarma yeteneği, bir karmaşıklık katmanı ekleyerek değerli kullanıcı kimlik bilgilerine kalıcı erişim sağlar.
Xehook Stealer, tespit edilmekten kaçınmak için, geleneksel güvenlik önlemlerini alt edecek şekilde titizlikle hazırlanmış birden fazla gizlilik tekniği kullanıyor.
Kötü amaçlı yazılımın zamana dayalı kısıtlama mekanizması, dil tabanlı kontrollerle birleştiğinde analiz ortamlarına karşı güçlü bir savunma mekanizması görevi görerek tersine mühendislik girişimlerini engeller.
Ayrıca Xehook Stealer, geleneksel tespit mekanizmalarından kaçarak hedef sistemlere sızmak için süreç enjeksiyon tekniklerinden yararlanıyor.
Kötü amaçlı yazılımın hedef ortamlara dinamik olarak uyum sağlama yeteneği, kaçınma taktikleriyle birleştiğinde, işlevlerini çözmeye çalışan siber güvenlik uzmanları için zorluk teşkil ediyor.
Xehook Stealer'ın işleyiş tarzı, hassas bilgilerin verimini en üst düzeye çıkarmak için titizlikle tasarlanmış, hedeflenen veri çıkarma etrafında döner.
Kötü amaçlı yazılım, şifrelerden çerezlere, otomatik doldurma verileri ve kredi kartlarına kadar değerli varlık arayışında çevrilmemiş taş bırakmaz.
Dosya yakalama modülünün eklenmesi, yeteneklerini daha da artırarak tehdit aktörlerinin kullanıcı dizinlerinden belirli dosya formatlarını toplamasına olanak tanır.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.