Giriş bilgilerini çalmak için web tarayıcılarını, VPN istemcilerini ve mesajlaşma uygulamalarını hedef alan Mint-stealer


Mint-Stealer, saldırıya uğramış sistemlerden gizlice hassas verileri sızdırmak için tasarlanmış bir Malware-as-a-Service aracıdır ve web kimlik bilgileri, kripto para cüzdanı bilgileri, oyun kimlik bilgileri, VPN yapılandırmaları, mesajlaşma uygulaması verileri ve FTP istemci bilgileri de dahil olmak üzere geniş bir veri yelpazesini hedef alır.

Şifreleme ve karartma kullanan Mint-Stealer, aktif olarak veri çalarken tespit edilmekten kaçınır. Özel web siteleri aracılığıyla dağıtılan ve Telegram üzerinden desteklenen bu kötü amaçlı yazılım, geniş kapsamlı veri hırsızlığı yetenekleri ve kaçınma teknikleri nedeniyle siber güvenlik için önemli bir tehdit oluşturmaktadır.

Web tarayıcılarından, kripto para cüzdanlarından, oyun platformlarından, VPN’lerden, mesajlaşma uygulamalarından ve FTP istemcilerinden hassas verileri çalan Python tabanlı MaaS kötü amaçlı yazılımı, anti-analiz teknikleri kullanıyor, yükünü sıkıştırıyor ve çalınan verileri C2 sunucusuna bildirmeden önce dosya paylaşım hizmetlerini özgürleştirmek için dışarı aktarıyor.

hırsız için komuta ve kontrol (C2) sunucusu
hırsız için komuta ve kontrol (C2) sunucusu

Özel web siteleri ve Telegram üzerinden dağıtılan Mint-Stealer, geniş veri hedeflemesi, kolay erişim ve kaçınma yetenekleri nedeniyle önemli bir tehdit oluşturuyor.

Gelişmiş bir kötü amaçlı yazılım hizmeti olan Mint-Stealer, özel web siteleri ve Telegram kanalları da dahil olmak üzere birden fazla çevrimiçi platform aracılığıyla etkin bir şekilde dağıtılıyor ve yönetiliyor.

How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide

Mint-Stealer’ın arkasındaki tehdit aktörleri, hassas verileri sızdırma yeteneğine sahip kalıcı operasyonları sürdürmek için şifreleme, karartma ve kısıtlanmamış barındırma gibi kaçınma tekniklerini kullanarak, sürekli adaptasyon ve sağlam altyapısı nedeniyle önemli bir tehdit oluşturuyor ve proaktif siber güvenlik önlemlerine olan ihtiyacı vurguluyor.

Tehdit aktörünün telgraf iletişimi
Tehdit aktörünün telgraf iletişim bilgisi

Esas olarak yoğun bir şekilde sıkıştırılmış kaynak bölümünden oluşan dosya, yüksek entropi ve tekdüze bir bayt dağılımı sergiliyor, yönetici ayrıcalıklarına ihtiyaç duymadan, geçerli kullanıcının izinlerinden yararlanarak çalışıyor.

Setup.exe, kaynak bölümünden bir yükü çıkarır ve ‘onefile’, işlem kimliği ve sistem saatinin benzersiz bir kombinasyonunu kullanarak geçici bir dizin oluşturur ve ardından bu dizine vadimloader.exe adlı yeni bir yürütülebilir dosya yazar ve çıkarılan yükü bu dizine yerleştirir.

bir sonraki aşama yükü
bir sonraki aşama yükü

Setup.exe, Python modülleri, DLL’ler ve CA sertifikaları dahil olmak üzere destekleyici dosyaları aynı dizine bırakır. İmzalanmamış vadimloader.exe, 64 bit derlenmiş Python yürütülebilir dosyası, Mint-Stealer kötü amaçlı yazılımının bir sonraki aşaması olarak hizmet eder.

Setup.exe, gerekli kütüphaneleri “Temp/onefile_1512_…” dizininden yükleyen vadimloader.exe’yi başlatan bir dropper görevi görür. Üçüncü aşamada, vadimloader.exe web tarayıcılarından, kripto para cüzdanlarından, oyun uygulamalarından, VPN istemcilerinden, mesajlaşma uygulamalarından ve sistem bilgilerinden aktif olarak veri toplar.

Toplanan tarayıcı verilerini ve Yakalanan bowser verilerini kaydetmek için bir tarayıcı dizini oluşturma
Toplanan tarayıcı verilerini ve Yakalanan tarayıcı verilerini kaydetmek için bir tarayıcı dizini oluşturma

Bunu, belirli uygulamaları ve hizmetleri hedef alarak, Wmic komutlarını kullanarak ve PowerShell yürütmelerini sürdürerek başarır. Son olarak, çalınan veriler bir ZIP arşivine sıkıştırılır ve geçici bir dizine gizlenir.

Mint-stealer zararlı yazılımı, önce enfekte cihazın IP adresini kontrol ediyor ve ardından çalınan bilgileri depolamak ve güvenli bir şekilde ücretsiz dosya barındırma sitelerine aktarmak için geçici dizinleri kullanarak tarayıcı bilgileri, kripto cüzdan bilgileri ve mesajlaşma uygulaması verileri gibi hassas verileri sızdırıyor.

Cyfirma’ya göre, çalınan verilerin şifrelenmemiş bir özetini, indirme bağlantısıyla birlikte komuta ve kontrol sunucusuna gönderiyor ve ayrıca hata ayıklama araçlarını aktif olarak tespit etmeye çalışırken panodaki içerikleri ve sistem bilgilerini de ele geçiriyor.

Var mıyou from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access



Source link