Bilgisayar korsanları, kurbanların cihazlarından oturum açma kimlik bilgileri, finansal veriler veya kişisel ayrıntılar gibi hassas bilgileri toplamak için hırsızları kullanır.
Çalınan bu kimlik bilgileri, kimlik hırsızlığı, mali dolandırıcılık veya hesap hackleme gibi sayısız hain eylemde kullanılabilir.
RussianPanda kısa süre önce bilgisayar korsanlarının popüler bilgisayar korsanlığı forumlarında aktif olarak GlorySprout Stealer'ın reklamını yaptığını keşfetti.
GlorySprout Popüler Hacking Forumlarında Hırsızlık Yaptı
Mart 2024'te GlorySprout adında biri, muhtemelen vejetaryen bir satıcı tarafından yaratılmış olan yeni hırsızıyla XSS forumunda ortaya çıktı.
Değeri 300$'dır ve yirmi günlük şifreleme hizmetiyle birlikte gelir. C++ hırsızının bir yükleyici, Anti-CIS uygulaması ve çalışmayan Grabber modülü gibi özellikleri vardır.
Bu, herhangi bir keylogging veya anti-vm özelliğine sahip olduklarının gözlemlendiği anlamına gelmez. Günlük yedeklemeyi ve belirli ülkeleri/IP'leri yasaklamayı destekler.
Taurus Stealer'ın GlorSprout klonuyla ilgili bazı dosyaları paylaştığını söyleyen isimsiz bir muhbiri var, bu da durumu analiz için ilginç bir durum haline getiriyor.
.webp)
GlorySprout, çarpma, toplama, XOR ve kaydırma gibi işlemleri kullanarak kabuk32.dll, user32.dll ve diğerleri gibi kitaplıklardaki API'leri dinamik olarak çözmek için API karmasını kullanır.
XOR ve aritmetik ikame yoluyla dizeleri gizler. Kalıcılık, %TEMP%'den bırakılan yükü çalıştıran “\WindowsDefender\Updater” adlı zamanlanmış bir görev aracılığıyla sağlanır.
Bir yükleyici modülü kullanılıyorsa, C2 iletişimi için dosya adlarını ve toplanan verileri sıkıştırmak için RC4 anahtarını oluşturmak için de kullanılan bir işlev kullanılarak, önceden tanımlanmış bir dizeden rastgele 8 karakterlik bir yük adı oluşturulur.
Ancak bu işlev her zaman gerçekten rastgele dizeler oluşturmaz. C2 adresi, şifresi çözülmüş verinin kaynak bölümünden alınır.
RussianPanda, GlorySprout'un C2 sunucusuyla 80 numaralı bağlantı noktası üzerinden sabit kodlu bir kullanıcı aracısı dizesiyle “/cfg/data=” POST isteği göndererek iletişim kurduğunu söyledi.
BotID, RC4 kullanılarak şifrelenir ve değişmez bir işlev (0xC40DF552) kullanılarak oluşturulan bir anahtardan oluşturulur. Dolayısıyla randomizasyon iddialarına rağmen ilk check-in'lerde aynı “IDaJhCHdIlfHcldJ” değeri kullanılıyor.
Etkilenen makine, yapılandırmayı aldıktan sonra toplanan verileri ZIP arşivlerine paketler ve POST “/log/” aracılığıyla gönderir, 200 OK yanıtı alır ve son olarak POST “/loader/complete/?data=1” göndererek iletişimi sonlandırır.
ZIP'i şifrelemek için kullanılan RC4 anahtarı, şifrelenmiş BotID dizesinin ilk 10 baytından oluşur.
Bu analizde GlorySprout'un Taurus Stealer'ın değiştirilmiş bir versiyonu olduğu kesindir.
Örneğin Outpost24, mevcut GlorySprout'tan bazı önemli farklılıklara sahip olan Taurus Stealer'ın bir örneğini analiz etti.
Outpost24 tarafından gözlemlendiği üzere GlorySprout, Taurus Stealer'ın aksine C2 sunucularından başka herhangi bir DLL bağımlılığını indirme yeteneğine sahip değildir ve anti-VM yeteneklerinden yoksundur.
Şu anda satışta olan diğer hırsızlarla karşılaştırıldığında bu eksik özellikler göz önüne alındığında GlorySprout'un potansiyel kullanıcılar arasında pek popüler olmayacağı tahmin edilebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.