Rust’ta kodlanmış, bilgi çalan bir kötü amaçlı yazılımın kaynak kodu, bilgisayar korsanlığı forumlarında ücretsiz olarak yayınlandı ve güvenlik analistleri, kötü amaçlı yazılımın saldırılarda aktif olarak kullanıldığını zaten bildiriyor.
Yazarın sadece altı saat içinde geliştirdiğini iddia ettiği kötü amaçlı yazılım, VirusTotal’ın yaklaşık %22’lik bir algılama oranı sağlamasıyla oldukça gizlidir.
Bilgi hırsızı, platformlar arası bir dil olan Rust’ta yazıldığından, tehdit aktörlerinin birden fazla işletim sistemini hedef almasına olanak tanır. Ancak, mevcut haliyle, yeni bilgi hırsızı yalnızca Windows işletim sistemlerini hedefliyor.
Kötü amaçlı yazılım yetenekleri
Yeni bilgi hırsızını örnekleyen ve ona “Luca Stealer” adını veren siber güvenlik firması Cyble’daki analistler, kötü amaçlı yazılımın bu tür kötü amaçlı yazılımlar için standart yeteneklerle birlikte geldiğini bildiriyor.
Kötü amaçlı yazılım yürütüldüğünde, depolanan kredi kartlarını, oturum açma kimlik bilgilerini ve çerezleri çalacağı otuz Chromium tabanlı web tarayıcısından veri çalmaya çalışır.
Hırsız ayrıca bir dizi “soğuk” kripto para birimini ve “sıcak” cüzdan tarayıcı eklentilerini, Steam hesaplarını, Discord belirteçlerini, Ubisoft Play’i ve daha fazlasını hedefliyor.
Luca Stealer’ın diğer bilgi hırsızlarına karşı öne çıktığı nokta, bu tür 17 uygulama için yerel olarak depolanan verileri çalan parola yöneticisi tarayıcı eklentilerine odaklanmasıdır.
Uygulamaları hedeflemeye ek olarak, Luca ayrıca ekran görüntüleri yakalar ve bunları bir .png dosyası olarak kaydeder ve ana sistemin profilini çıkarmak ve ayrıntıları operatörlerine göndermek için bir “whoami” gerçekleştirir.
Diğer bilgi hırsızlarında tipik olarak bulunan ancak Luca’da bulunmayan dikkate değer bir yetenek, kripto para birimi işlemlerini ele geçirmek için pano içeriğini değiştirmek için kullanılan bir kırpıcıdır.
Çalınan verilerin sızdırılması, sızdırılan dosyanın 50 MB’ın üzerinde olup olmamasına bağlı olarak Discord web kancaları veya Telegram botları aracılığıyla yapılır. Kötü amaçlı yazılım, daha büyük çalıntı veri günlükleri için verileri saldırganlara geri göndermek için bir Discord web kancası kullanır.
Çalınan veriler, içeriğin bir özetiyle birlikte bir ZIP arşivinde paketlenir, böylece operatör ganimetin boyutunu tek bir bakışta değerlendirebilir.
Endişelenmeli miyiz?
Cyble, vahşi ortamda kullanılan en az 25 Luca Stealer örneğini gördüğünü bildiriyor, bu nedenle bazı siber suçlular ücretsiz teklifi kabul ederken, bu yeni kötü amaçlı yazılımın büyük bir dağıtım görüp görmediği bilinmiyor.
Ancak, bilgi hırsızlarının çoğu aylık abonelik ücretiyle satılırken kaynak koduyla ücretsiz olarak sunulması bir sürücü olabilir, ancak ücretsiz olarak verilen tek kişi Luca değil.
Son olarak, Luca Rust’ta yazılmıştır; bu, onu Linux veya macOS’a taşımanın karmaşık olmadığı anlamına gelir, bu nedenle orijinal yazar veya başka biri gelecekte bu dönüştürmeyi gerçekleştirebilir.