adlı yeni bir bilgi kötü amaçlı yazılım türü İstatistik Hırsızı hassas kişisel bilgileri ve ödeme bilgilerini sifonlamak için Microsoft Windows çalıştıran cihazlara bulaştığı tespit edildi.
Zscaler ThreatLabz araştırmacıları Shivam Sharma ve Amandeep Kumar, bu hafta yayınlanan teknik bir raporda, “Statc Stealer çok çeşitli çalma yetenekleri sergiliyor ve bu da onu önemli bir tehdit haline getiriyor” dedi.
“Giriş verileri, tanımlama bilgileri, web verileri ve tercihler dahil olmak üzere çeşitli web tarayıcılarından hassas bilgileri çalabilir. Ek olarak, kripto para cüzdanlarını, kimlik bilgilerini, şifreleri ve hatta Telegram gibi mesajlaşma uygulamalarından gelen verileri hedefler.”
C++ ile yazılmış kötü niyetli hırsız, Google Chrome gibi web tarayıcılarında bir MP4 video dosyası biçimini taklit ederek potansiyel kurbanlar görünüşte zararsız reklamları tıklamaları için kandırıldığında kurban sistemlerine girmenin yolunu bulur.
İlk aşama yükü, bir sahte PDF yükleyicisini bırakıp yürütürken, bir PowerShell komut dosyası aracılığıyla uzak bir sunucudan hırsız kötü amaçlı yazılımını almaya devam eden bir indirici ikili dosyasını da gizlice dağıtır.
Hırsız, korumalı alan tespitini ve tersine mühendislik analizini engellemek için gelişmiş kontroller içerir ve HTTPS kullanarak toplanan verileri dışarı sızdırmak için bir komuta ve kontrol (C&C) sunucusuyla bağlantılar kurar.
Anti-analizlerden biri, herhangi bir tutarsızlık olup olmadığını incelemek ve bulunursa yürütülmesini durdurmak için dosya adlarının karşılaştırılmasını içerir. Hedeflenen web tarayıcıları arasında Google Chrome, Microsoft Edge, Mozilla Firefox, Brave, Opera ve Yandex Browser bulunur.
Araştırmacılar, “Statc Stealer’ın sızma tekniğinin önemi, hassas tarayıcı verilerini çalma ve C&C sunucusuna güvenli bir şekilde gönderme potansiyelinde yatmaktadır” dedi. “Bu, kötü amaçlı yazılımın kimlik hırsızlığı ve finansal dolandırıcılık gibi kötü niyetli amaçlar için oturum açma kimlik bilgileri ve kişisel ayrıntılar gibi değerli bilgileri toplamasına olanak tanır.”
Bulgular, eSentire’in Raccoon Stealer’ın güncellenmiş bir versiyonunun analizini yayınlamasıyla geldi.
Raccoon Stealer’ın yazarları, bir Gmail hesabına kaydolmak için kullandığı ölümcül bir hata yaptıktan sonra önde gelen geliştiricilerden biri olduğu ortaya çıkan Mark Sokolovsky’nin Mart 2022’de tutuklanmasının ardından geçen yıl kötü amaçlı yazılım üzerindeki çalışmaları geçici olarak durdurdu. Photix takma adı altında bir Apple iCloud hesabına siber suç forumu, böylece gerçek dünyadaki kimliğini ortaya çıkarıyor.
eSentire geçen hafta, “Güncellenmiş sürüm, Signal Messenger veri toplama, Defender tespitinden temizleme (muhtemelen kodu değiştirme, tespitleri önlemek için gizleme) ve kripto cüzdanları için otomatik kaba kuvvet gibi özellikler içeriyor.”