Haydut Kötü Amaçlı Yazılım Saldırıları 17 Tarayıcı, FTP ve E-posta İstemcisi

   Temmuz 4, 2023  Posted in CyberSecurityNews


Haydut Kötü Amaçlı Yazılım 17 Tarayıcıya Saldırıyor

Zscaler ThreatLabz, yakın zamanda Nisan 2023’te ortaya çıkan ve 17 tarayıcıdan aşağıdaki verileri çalan yeni bir bilgi hırsızı olan “Bandit Malware”i takip etti:-

  • Kurabiye
  • Girişler
  • Kredi kartları

Bandit Stealer, popüler olan FTP ve e-posta istemcileri için kimlik bilgilerini çalıyor ve sadece bununla da kalmıyor, aynı zamanda masaüstü kripto cüzdanlarının da peşine düşüyor.

CSN

Go’da (Golang) kodlanan kötü amaçlı yazılım ve çalınan veriler Telegram aracılığıyla bir C2 sunucusuna gönderilir. Bunun dışında kötü amaçlı yazılım, sanal ortamlardan ve otomatik analiz araçlarından gizlice kaçma yeteneğine de sahiptir.

Haydut Hırsızı Analizden Kaçıyor

Haydut hırsızı, birkaç anti-analiz tekniği kullanarak hem otomatik hem de manuel analizden kaçınır. İşlem bilgilerini toplamak için procfs Golang kitaplığından yararlanır ve aşağıda bahsettiğimiz aşağıdaki işlemler için tarama yapar: –

  • zenci
  • sanal yazılım
  • Sanal Kutu
  • KVM
  • Kum havuzu
  • QEMU
  • hapishane

Bir işlem bu adlarla eşleştiğinde, Haydut bilgi hırsızı yürütmeyi otomatik olarak sonlandırır ve en son Haydut örnekleri, aşağıdaki çağrılar aracılığıyla Windows API’sini kullanarak hata ayıklayıcının varlığını doğrular:-

  • Hata AyıklayıcıMevcut mu
  • CheckRemoteDebuggerMevcut

Haydut, aşağıdaki WMIC komutlarını kullanarak UUID ve ekran boyutlarını elde eder: –

  • wmic csproduct uuid’i edinin
  • wmic masaüstü monitör ekran yüksekliği, ekran genişliği alır

Toplanan bilgiler, tehdit aktörlerinin analiz kurulumlarını tanımasına yardımcı olur. Haydut hırsızı, sanal ortamları tespit etmek, güvenlik sağlayıcılarını kandırmak ve şüpheden kaçmak için aşağıdakilerin geniş bir listesini kullanır:-

  • IP adresleri
  • MAC adresleri
  • bilgisayar adları
  • Kullanıcı adları
  • İşlem adları

Haydut ‘api.ipify.org’dan sistemin harici IP’sini getirir ve ardından Ek’ten, sistemin harici IP’si ile karşılaştırmak için kara listeye alınmış IP adreslerinin bir listesini getirir.

Haydut, GetAdaptersAddresses Windows API aracılığıyla MAC adresini çalar ve ardından bir Ek kara listesine göre kontrol eder. Eşleşirse, Bandit çıkar ve sanallaştırmaya bağlı MAC’ler, sanal alanlardan kaçınmak için kara listede olabilir.

Bunun dışında Bandit Stealer, kurbanın kullanıcı adını ve bilgisayar adını doğrulamak için “cmd /c net session” kullanarak ek kara listeler de elde eder.

Bandit, CreateToolhelp32Snapshot Windows API’sini kullanarak bir işlem anlık görüntüsü yakalar ve bunu Ek’teki bir kara listeye karşı tarar. Bellekte çalışan kara listeye alınmış bir işlem bulunursa, Bandit sonlandırılır.

Hedeflenen Tarayıcılar

Aşağıda, Bandit Stealer tarafından hedeflenen tüm tarayıcılardan bahsetmiştik: –

  • Yandex Tarayıcı
  • İridyum Tarayıcı
  • 7 Yıldızlı Tarayıcı
  • Vivaldi Tarayıcı
  • Google Chrome
  • yörünge
  • Sputnik
  • uCozMedia
  • Microsoft Kenarı
  • Meşale Web Tarayıcısı
  • Comet Tarayıcı
  • Merkez Tarayıcı
  • BraveYazılım
  • Arkadaş Tarayıcı
  • Epic Gizlilik Tarayıcısı
  • SeaMonkey tarayıcı
  • qupzilla

Hedeflenen Kripto Para Cüzdanları

Aşağıda, Bandit Stealer tarafından hedeflenen tüm kripto para cüzdanlarından bahsetmiştik: –

  • Coinbase cüzdan uzantısı
  • Satürn Cüzdan uzantısı
  • Binance zincir cüzdan uzantısı
  • Coin98 Cüzdanı
  • TronLink Cüzdanı
  • çok bitli Bitcoin
  • Terra İstasyonu
  • Elektron Nakit
  • Guildcüzdan uzantısı
  • Electrum-btcp
  • Meta Maske uzantısı
  • Bither Bitcoin cüzdanı
  • ronin cüzdan uzantısı
  • çoklu para birimi
  • Kardiachain cüzdan uzantısı
  • Litecoin
  • Jaxx özgürlük Cüzdanı
  • Dash Cüzdanı
  • Matematik Cüzdanı uzantısı
  • Ethereum
  • Bitpay cüzdan uzantısı
  • Çıkış
  • Şık Cüzdan uzantısı
  • atomik
  • cephanelik
  • Bytecoin Cüzdanı
  • Coinomi cüzdanı
  • Monero cüzdanı
  • dogecoin

Hedeflenen FTP istemci uygulamaları

Aşağıda, Bandit Stealer’ın hedeflediği tüm FTP istemci uygulamalarından bahsetmiştik:-

  • BlazeFTP
  • NovaFTP
  • Personel-FTP
  • KolayFTP
  • DeluxeFTP
  • ALFTP
  • GoFTP
  • 32BitFtp

Hedeflenen E-posta İstemcileri

Aşağıda, Haydut hırsızının hedeflediği tüm e-posta istemcilerinden bahsetmiştik: –

  • posta yayı
  • posta kuşu
  • Opera Postası
  • pocomail

Çalınan veriler, %appdata%\local dizinindeki bir alt klasördeki dosyalarda bulunur ve alt klasör adı aşağıdaki gibidir: [country_code][ip_address] biçim.

Bandit Stealer tarafından toplanan bilgiler (Kaynak – Zscaler)

USERINFO.txt dosyası, Bandit Stealer başlığını ve sistem bilgilerini taşırken.

USERINFO içeriği (Kaynak – Zscaler)

Bandit, aşağıdakiler gibi çeşitli standartlar aracılığıyla çok yönlü veri aktarımı için Windows 10 v1803’ün varsayılan cURL yardımcı programından yararlanır: –

Ayrıca, sabit kodlanmış bir URL’den “pastebin.com”u kötüye kullanarak kara liste yapılandırma bilgilerini indirir.

İndirilen Bandit Stealer kara liste yapılandırması (Kaynak – Zscaler)

Haydut, veri toplama sona erdiğinde bu bilgiyi Telegram aracılığıyla tehdit aktörüne gönderir.

Haydut tehdit aktörü tarafından otomatik ayrıştırma ve veri çıkarma, JSON kodlu bir yanıtla sonuçlanır.

“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.



Source link