Hırsız kötü amaçlı yazılım ekosistemi, her gün yüz milyonlarca kimlik bilgisini işleyebilen karmaşık bir suç örgütüne dönüştü.
Geçtiğimiz birkaç yılda tehdit aktörleri, özel kötü amaçlı yazılım aileleri ve yer altı dağıtım platformları aracılığıyla kimlik bilgisi hırsızlığı ortamını değiştirdi.
Bu bilgi çalma operasyonları artık dijital güvenliğe yönelik en önemli tehditlerden birini temsil ediyor; suç ağları, çalınan kimlik doğrulama verilerinin toplanmasını ve dağıtımını yönetmek için karmaşık hiyerarşiler oluşturuyor.
Hırsız günlük ekosistemine yönelik son araştırmalar, operasyonların endişe verici ölçeğini ortaya çıkardı. Güvenlik araştırmacıları tarafından izlenen tek bir Telegram hesabının, 24 saatlik bir süre içinde 50 milyona kadar kimlik bilgisini kullandığı gözlemlendi.
Bu operasyonları destekleyen altyapı, tehdit aktörlerinin birincil dağıtım kanalı olarak başta Telegram olmak üzere mesajlaşma platformlarını kullanmasıyla giderek daha karmaşık hale geldi.
Bu platformlar, çalınan verilerin satın alındığı, satıldığı ve suç toplulukları arasında serbestçe paylaşıldığı pazar yerleri olarak hizmet veriyor.
Suç ekosistemi, üç ana gruptan oluşan kademeli bir yapı üzerinden çalışır. Birincil satıcılar, temel operasyonları yönetir ve hem hırsız günlüklerinin paylaşıldığı genel kanalları hem de müşterilere premium erişim sunan ücretli özel kanalları korur.
.webp)
Toplayıcılar, hırsız günlüklerini birden fazla kaynaktan toplar ve bunları kendi kanalları aracılığıyla yeniden dağıtır; genellikle kurbanlara belirli sitelerde arama yetenekleri sağlar.
Tacirler, kötü amaçlı yazılımları yaymak için birincil satıcılarla işbirliği içinde çalışır ve zaman zaman bunların etkinliğini göstermek için kendi kanallarını çalıştırır.
Synthient analistleri, mağdurlara yardım etme umuduyla paylaşılan verileri almak için platformları izlerken ve sistemler oluştururken bu hiyerarşik yapıyı tespit etti.
Bu operasyonları yönlendiren motivasyonlar gruplar arasında farklılık göstermektedir. Birincil satıcılar, abonelik modelleri aracılığıyla çalınan kimlik bilgilerinden para kazanmaya odaklanırken, toplayıcılar genellikle suç topluluklarında dikkat ve itibar kazanmak için verileri kamuya açık olarak sızdırıyor.
Bu, çalınan aynı kimlik bilgilerinin birden fazla kanalda çeşitli formatlarda görünebileceği karmaşık bir ağ oluşturur.
Bazı kanallar milyarlarca kimlik bilgisi satırına erişimin reklamını yapıyor; fiyatlandırma modelleri 60 dolarlık haftalık aboneliklerden 600 dolarlık ömür boyu erişime kadar değişiyor ve bu da siber suçların ticarileştiğini gösteriyor.
Bu kanallardan akan kimlik bilgilerinin hacmi şaşırtıcı boyutlara ulaştı. Büyük bir operasyonun analizi, izleme süresince araştırmacıların yaklaşık 30 milyar Telegram mesajını indekslediğini ve 80 milyar kimlik bilgisini ayrıştırdığını ortaya çıkardı.
Faaliyetin yoğun olduğu dönemlerde sistem, tek bir günde 600 milyon kimlik bilgisini işledi ve aynı zaman dilimi içinde 1,2 milyar mesajı dizine ekledi.
Teknik Altyapı ve Veri Formatları
Hırsız günlüğü dağıtımının teknik uygulaması hem suçlular hem de araştırmacılar için benzersiz zorluklar sunar.
Tehdit aktörleri, kötü amaçlı yazılım ailesine ve dağıtım yöntemine bağlı olarak birden fazla kimlik bilgisi formatı kullanır. En yaygın biçimler, e-posta adreslerini ve parolaları ayırmak için iki nokta üst üste, noktalı virgül veya düz çizgi gibi sınırlayıcılar kullanan basit birleşik liste yapıları içerir.
Daha karmaşık formatlar, URL-Giriş-Şifre kurallarını takip ederken, gerçek kötü amaçlı yazılım bulaşmalarından kaynaklanan hırsız günlükleri, etiketli alanlara sahip yapılandırılmış veriler içerir.
# ComboList
email: password
email; password
email|password
# ULP
url:login:password
url|login|password
# Stealer
URL:
Login:
Password:Veri formatlarındaki tutarsızlık, çalınan kimlik bilgilerini birleştirmeye çalışan toplayıcılar için operasyonel zorluklar yaratıyor.
Synthient araştırmacıları, toplayıcıların genellikle farklı satıcılardan gelen birden fazla dosyayı birleştirdiğini ve çeşitli kimlik bilgisi formatlarını birleştiren “sözde benzersiz iğrençlikler” olarak tanımladıkları dosyaları oluşturduklarını belirtti.
Bu karmaşıklık, birincil satıcıların arşivlerini kanallarına bağlantılarla parolayla koruduğu ve toplayıcıların veriler için kolayca hak talebinde bulunmasının engellendiği durumlarda daha da karmaşık hale geliyor.
Teknik engeller, orijinal formatı veya paketleme yöntemi ne olursa olsun, kimlik bilgilerini tanımlayıp işleyebilen gelişmiş ayrıştırma sistemleri gerektirir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
