Zscaler ThreatLabz, yakın zamanda Nisan 2023’te ortaya çıkan ve 17 tarayıcıdan aşağıdaki verileri çalan yeni bir bilgi hırsızı olan “Bandit Malware”i takip etti:-
- Kurabiye
- Girişler
- Kredi kartları
Bandit Stealer, popüler olan FTP ve e-posta istemcileri için kimlik bilgilerini çalıyor ve sadece bununla da kalmıyor, aynı zamanda masaüstü kripto cüzdanlarının da peşine düşüyor.
Go’da (Golang) kodlanan kötü amaçlı yazılım ve çalınan veriler Telegram aracılığıyla bir C2 sunucusuna gönderilir. Bunun dışında kötü amaçlı yazılım, sanal ortamlardan ve otomatik analiz araçlarından gizlice kaçma yeteneğine de sahiptir.
Haydut Hırsızı Analizden Kaçıyor
Haydut hırsızı, birkaç anti-analiz tekniği kullanarak hem otomatik hem de manuel analizden kaçınır. İşlem bilgilerini toplamak için procfs Golang kitaplığından yararlanır ve aşağıda bahsettiğimiz aşağıdaki işlemler için tarama yapar: –
- zenci
- sanal yazılım
- Sanal Kutu
- KVM
- Kum havuzu
- QEMU
- hapishane
Bir işlem bu adlarla eşleştiğinde, Haydut bilgi hırsızı yürütmeyi otomatik olarak sonlandırır ve en son Haydut örnekleri, aşağıdaki çağrılar aracılığıyla Windows API’sini kullanarak hata ayıklayıcının varlığını doğrular:-
- Hata AyıklayıcıMevcut mu
- CheckRemoteDebuggerMevcut
Haydut, aşağıdaki WMIC komutlarını kullanarak UUID ve ekran boyutlarını elde eder: –
- wmic csproduct uuid’i edinin
- wmic masaüstü monitör ekran yüksekliği, ekran genişliği alır
Toplanan bilgiler, tehdit aktörlerinin analiz kurulumlarını tanımasına yardımcı olur. Haydut hırsızı, sanal ortamları tespit etmek, güvenlik sağlayıcılarını kandırmak ve şüpheden kaçmak için aşağıdakilerin geniş bir listesini kullanır:-
- IP adresleri
- MAC adresleri
- bilgisayar adları
- Kullanıcı adları
- İşlem adları
Haydut ‘api.ipify.org’dan sistemin harici IP’sini getirir ve ardından Ek’ten, sistemin harici IP’si ile karşılaştırmak için kara listeye alınmış IP adreslerinin bir listesini getirir.
Haydut, GetAdaptersAddresses Windows API aracılığıyla MAC adresini çalar ve ardından bir Ek kara listesine göre kontrol eder. Eşleşirse, Bandit çıkar ve sanallaştırmaya bağlı MAC’ler, sanal alanlardan kaçınmak için kara listede olabilir.
Bunun dışında Bandit Stealer, kurbanın kullanıcı adını ve bilgisayar adını doğrulamak için “cmd /c net session” kullanarak ek kara listeler de elde eder.
Bandit, CreateToolhelp32Snapshot Windows API’sini kullanarak bir işlem anlık görüntüsü yakalar ve bunu Ek’teki bir kara listeye karşı tarar. Bellekte çalışan kara listeye alınmış bir işlem bulunursa, Bandit sonlandırılır.
Hedeflenen Tarayıcılar
Aşağıda, Bandit Stealer tarafından hedeflenen tüm tarayıcılardan bahsetmiştik: –
- Yandex Tarayıcı
- İridyum Tarayıcı
- 7 Yıldızlı Tarayıcı
- Vivaldi Tarayıcı
- Google Chrome
- yörünge
- Sputnik
- uCozMedia
- Microsoft Kenarı
- Meşale Web Tarayıcısı
- Comet Tarayıcı
- Merkez Tarayıcı
- BraveYazılım
- Arkadaş Tarayıcı
- Epic Gizlilik Tarayıcısı
- SeaMonkey tarayıcı
- qupzilla
Hedeflenen Kripto Para Cüzdanları
Aşağıda, Bandit Stealer tarafından hedeflenen tüm kripto para cüzdanlarından bahsetmiştik: –
- Coinbase cüzdan uzantısı
- Satürn Cüzdan uzantısı
- Binance zincir cüzdan uzantısı
- Coin98 Cüzdanı
- TronLink Cüzdanı
- çok bitli Bitcoin
- Terra İstasyonu
- Elektron Nakit
- Guildcüzdan uzantısı
- Electrum-btcp
- Meta Maske uzantısı
- Bither Bitcoin cüzdanı
- ronin cüzdan uzantısı
- çoklu para birimi
- Kardiachain cüzdan uzantısı
- Litecoin
- Jaxx özgürlük Cüzdanı
- Dash Cüzdanı
- Matematik Cüzdanı uzantısı
- Ethereum
- Bitpay cüzdan uzantısı
- Çıkış
- Şık Cüzdan uzantısı
- atomik
- cephanelik
- Bytecoin Cüzdanı
- Coinomi cüzdanı
- Monero cüzdanı
- dogecoin
Hedeflenen FTP istemci uygulamaları
Aşağıda, Bandit Stealer’ın hedeflediği tüm FTP istemci uygulamalarından bahsetmiştik:-
- BlazeFTP
- NovaFTP
- Personel-FTP
- KolayFTP
- DeluxeFTP
- ALFTP
- GoFTP
- 32BitFtp
Hedeflenen E-posta İstemcileri
Aşağıda, Haydut hırsızının hedeflediği tüm e-posta istemcilerinden bahsetmiştik: –
- posta yayı
- posta kuşu
- Opera Postası
- pocomail
Çalınan veriler, %appdata%\local dizinindeki bir alt klasördeki dosyalarda bulunur ve alt klasör adı aşağıdaki gibidir: [country_code][ip_address] biçim.
USERINFO.txt dosyası, Bandit Stealer başlığını ve sistem bilgilerini taşırken.
Bandit, aşağıdakiler gibi çeşitli standartlar aracılığıyla çok yönlü veri aktarımı için Windows 10 v1803’ün varsayılan cURL yardımcı programından yararlanır: –
Ayrıca, sabit kodlanmış bir URL’den “pastebin.com”u kötüye kullanarak kara liste yapılandırma bilgilerini indirir.
Haydut, veri toplama sona erdiğinde bu bilgiyi Telegram aracılığıyla tehdit aktörüne gönderir.
Haydut tehdit aktörü tarafından otomatik ayrıştırma ve veri çıkarma, JSON kodlu bir yanıtla sonuçlanır.
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.