Cyble Research and Intelligence Labs, birkaç tarayıcıya ve kripto cüzdanına erişen Rhadamanthys adlı bilgi çalan bir kötü amaçlı yazılımın ayrıntılarını verdi. Zoom dahil olmak üzere uygulamalar için indirilen e-postalar yoluyla hedef sistemlere yayılır.
Ancak, yalnızca makinenin kontrollü bir ortamda çalışmadığını tespit ederse kötü amaçlı faaliyetlerini gerçekleştirir.
Rhadamanthys hırsız C&C paneli (Kaynak: Cyble)
Rhadamanthys hırsız saldırısı, hedefleri yönlendirmeler aracılığıyla kimlik avı e-postalarına veya kimlik avı web sitelerine götüren Google Ads’de başlatılır. Sahte web siteleri meşru görünür ve aşağıdaki sitelerdendir:
- yakınlaştır
- Herhangi Bir Masa
- Not Defteri++
- Bluestacks
Kimlik avı e-postaları kullanılarak yapılan saldırılar ise, Notice.pdf adlı bir PDF eki ile gönderilir. E-posta gövdesi, kullanıcının son etkinliğinden bahseden ve e-postanın ne istediğini doğrulamak için tıklamaları gereken bir bağlantıyı gösteren bir metin içerir. Ayrıca, kullanıcıyı Rhadamanthys çalma saldırısını başlatacak kötü amaçlı bağlantıyı kullanmaya zorlamak için çoğu e-postada “anında yanıt” ister.
Şüphelenmeyen bir kullanıcı eki indirdiğinde, kötü amaçlı yazılımı https gibi bir bağlantıdan getirir.[:]\\zolotayavitrina[.]com/Jan-ifadesi[.]Cyble’dan araştırmacılar tarafından bulunan exe. İndirilenler, indirilenler klasöründe saklanır.
Bunu takiben, bir dizi kötü amaçlı indirme başlar. Ekranda meşru görünen bir yükleyici indirilir. Çalan kötü amaçlı yazılım indirilir.
ST adlı bir klasör oluşturan ve onu %temp% konumuna kaydeden yükleyici dosyası yürütülür. Initialize 4.exe de dahil olmak üzere iki gizli ikili çalıştırılabilir dosyayı düşürür. Diğer yükleyici, SHA256 ile Runtime Broker.exe’dir: db66fc58c07ba0ccbe1b9c2db770179d0d931e5bf73838da9c915581661d4c1a. 32 bitlik bir PyInstaller yürütülebilir dosyasıdır.
Runtime Broker.exe, PyInstaller yürütülebilir dosyasından çıkarılan %temp% klasörüne aşağıdakiler de dahil olmak üzere birkaç Python destekleyen dosyayı kaydeder:
Ham karartılmış veriler, değiştirme işleviyle gizlenmesi kaldırılan ve Binary ve ASCII biçimine dönüştürülen Binary_Stub_Replacer.pyc dosyasında bulunur.
Binary_Stub_Replacer.pyc’nin Python içeriği (Kaynak: Cyble)
Bunu takiben, yerleşik bir base64 kodlu kabuk kodu içeriğine sahip olan ikinci aşama kötü niyetli python kodu alınır. Python kodunu yürüttükten sonra, base64 kodlu saplama yeni bir taşınabilir yürütülebilir (PE) yük dosyası oluşturur.
Bu dosya, CreateThread() API işleviyle başka bir Runtime Broker.exe işlemine eklenir. Kabuk kodu, Microsoft görsel C/C++ derleyicisi kullanılarak oluşturulan 32 bitlik yürütülebilir bir dosyadır.
Yük dosyası (Kaynak: Cyble)
Rhadamanthys hırsızının makinede çalışması için kriterler.
- Kabuk kodu, virüslü cihazda daha fazla kötü amaçlı yazılım kopyası olup olmadığını kontrol etmek için bir muteks nesnesi oluşturur. Herhangi bir zamanda yalnızca bir tane olduğundan emin olur.
- Kötü amaçlı yazılım, tespit edilmekten kaçınmak için sanal bir ortamın ve kontrollü bir ortamın varlığını arar. Olumlu sonuçlanırsa yürütmesini durdurur.
- VMware ve VirtualBox gibi bir sanal makinede çalışıp çalışmadığını bulmak için sanal makine ortamlarıyla ilişkili dizeleri arar.
AntiVM ile ilgili dizeler (Kaynak: Cyble)
Tüm ölçütler karşılandığında, kabuk kodu nsis_unsibcfb0.dll adlı bir DLL dosyasını %temp% klasörüne kaydeder. Rhadamanthys hırsızının kodunu içeren rundll32.exe kullanılarak başlatılır. Araştırmacılar, geliştiricilerin uzak bir sunucudan indirilen bir steganografi görüntüsü kullandığını gösteren izler buldu. Kabuk kodunun, Rhadamanthys hırsız yükünü elde etmek için steganografi görüntüsünün şifresini çözdüğünden şüpheleniliyor.
Rhadamanthys hırsızının hırsızlık faaliyetleri
Bu aşamada, Rhadamanthy’nin hırsız faaliyetleri, aşağıdakileri içeren sistem verilerini toplamasıyla başlar:
- bilgisayarın adı
- Kullanıcı adı
- RAM verileri
- CPU verileri
- OS sürümü
- HWID
- Sistemin saat dilimi
- Ayarlanan kullanıcı ve klavye dili
Veriler, bir dizi Windows yönetim araçları (WMI) sorgusu çalıştırılarak toplanır. Bundan sonra, tarayıcı dizinleri şunlardan verilere erişmek için aranır:
- Giriş verileri
- Tarih
- Yer imleri
- otomatik doldurma
- Kurabiye
Kötü amaçlı yazılımın aşağıdaki tarayıcılara erişimi vardır:
- Cesur
- Krom
- CocCoc
- Kenar
- Firefox
- Opera Yazılımı
- Soluk ay
- Sleipnir5
Rhadamanthys hırsızı birkaç kripto cüzdanından veri çalabilse de, aşağıdakilere erişmek için belirli bir işlevselliğe sahipti:
- cephanelik
- Binance
- Bitcoin
- baytcoin
- Elektron
- Qtum-Elektrum
- Güneş cüzdanı
- CüzdanWasabi
- zap
- Zec cüzdan Lite
- Zcash
Aşağıdaki resimde kripto cüzdanı tarayıcı uzantıları gösterilmektedir:
(Kaynak: Cyble)
Rhadamanthys hırsızı, BitBlt() API işlevini kullanarak sistem verilerinin ekran görüntülerini alabilir. Aşağıdaki uygulamalardan çalabilir:
- CoreFTP ve WinSCP dahil olmak üzere FTP istemcileri
- GmailNotifierPro, Outlook, Foxmail, Thunderbird ve TrulyMail dahil olmak üzere e-postalar
- Toplam komutanlar dahil dosya yöneticileri
- RoboForm ve KeePass dahil şifre yöneticileri
- NordVPN, OpenVPN, ProtonVPN ve Windscribe VPN dahil olmak üzere VPN
- Telegram, Discord ve Tox dahil mesajlaşma uygulamaları
Rhadamanthys hırsızının teknik detayları
Araştırmacılar aşağıdaki kimlik avı etki alanlarını buldu:
- bluestacks kurulumu[.]iletişim
- yakınlaştırma kurulumu[.]iletişim
- yükleme-yakınlaştırma[.]iletişim
- herhangi bir masayı kur[.]iletişim
- kurulum-anydeslk[.]iletişim
- zoom-toplantı-kurulum[.]iletişim
- zoom-toplantıları-indir[.]iletişim
- anydleslk-indir[.]iletişim
- zoomvideo kurulumu[.]iletişim
- zoom-video-kurulum[.]iletişim
- yükleyici yakınlaştırma[.]iletişim
- hasankahrimanoglu[.]iletişim[.]tr
Araştırmacılar, şu anda aktif olan Rhadamanthys hırsızına ve Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) modeli altında satılan benzer birkaç kötü amaçlı yazılıma karşı savunma yapmak için, kullanıcılardan kimlik avı e-postalarını ve web sitelerini algılayan güvenlik ürünleri yüklemelerini istiyor. Warez/Torrent gibi kaynaklardan gelen korsan yazılımlardan kaçınılması çok önemlidir.
Cyble, YouTube gibi sitelerdeki “Hack Aracı”nın kötü amaçlı yazılım içerdiğini de kaydetti. Ağ düzeyinde işaret izlenerek veri hırsızlığının engellenebileceğini ileri sürdüler.