Cyble Araştırma ve İstihbarat Laboratuvarları olan CRIL, kısa bir süre önce, bilgisayar sistemlerine önemli ölçüde zarar verme ve hassas bilgileri çalma potansiyeline sahip olan ve “WhiteSnake” Stealer olarak bilinen yeni bir kötü amaçlı yazılım türü belirledi.
Bu ayın başında, bu kötü niyetli hırsız siber suç forumlarında ilk kez tespit edilmişti. Ayrıca, bu hırsıza her iki ana işletim sistemi için uyarlanmış varyantlarda erişilebilir: –
Yetenekler WhiteSnake Stealer’nın
Hassas bilgiler açısından, aşağıdakiler de dahil olmak üzere bir dizi veri toplama yeteneğine sahiptir: –
- Şifreler
- Kurabiye
- Kredi kartı numaraları
- Bankamatik kartı numarası
- Ekran Görüntüsü Alma
- Diğer kişisel veriler
- Diğer finansal veriler
Çalınan dosyalar toplanıp sıkıştırıldıktan hemen sonra göndermek için Stealer tarafından bir Telegram botu kullanılır. Bu bilgi hırsızı henüz geliştirme aşamasında olduğu için tehdit aktörleri tarafından günlük olarak güncellenmektedir.
Fiyatlandırma Kötü Amaçlı Yazılım
WhiteSnake Stealer fiyatlarının ilgili geçerliliklerine göre listesi aşağıdadır:-
- 120$ / 1 ay
- 300$/ 3 ay
- 500$ / 6 ay
- 900$ / 1 yıl
- 1500$ / Ömür Boyu
Beyaz Yılan Hırsızı Yetenekler
Siber suçlular yakın zamanda, WhiteSnake Stealer’ın Linux işletim sistemi için kullanılabilirliğini ortaya çıkaran bir reklam ekran görüntüsü paylaştılar. İlginç bir şekilde, Linux varyantı, Windows muadili ile aynı özellik ve yetenek yelpazesini sunar.
Linux hırsızı için ikili, yalnızca 5 KB’lik bir dosya boyutuyla nispeten küçüktür ve aşağıdaki gibi uzantılar kullanılarak derlenebilir: –
Bulaşıcı saldırının başlangıcında, kurnazca zararsız bir PDF belgesi kılığına giren sinsi bir istenmeyen posta e-postası, hain yükü yürütülebilir bir dosya biçiminde teslim eder.
“Bat2Exe” dönüştürücünün yardımıyla bir BAT yürütülebilir bir dosya formatına dönüştürülür. %temp% klasöründe, kullanıcı tarafından çalıştırıldığında yürütülebilir dosya tarafından bir BAT dosyası bırakılır (“tmp46D2.tmp.bat”).
BAT dosyasının çalıştırılmasının ardından, Discord platformunda belirlenmiş bir URL’den “build.bat” adlı ikincil bir BAT dosyasını indiren bir PowerShell betiği başlatılır.
“build.bat” dosyası açıldığında bir metin düzenleyicide görüntülenen geleneksel Çince karakterler vardır. Kodu çözülmüş BAT dosyasındaki dijital sertifikalar arasına dahil edilmiş, Base64’te kodlanmış yürütülebilir bir Binary vardır.
Daha sonra kodu çözülmüş çıktıdan “build.exe” adlı bir ikili yürütülebilir dosya oluşturulur ve ikili yürütülebilir dosya olarak %temp% klasörüne kaydedilir.
WhiteSnake Stealer, 32-bit GUI tabanlı bir .NET yürütülebilir ikili dosyasıdır ve “build.exe” yükü altında gizlenmiştir.
“Build.exe”nin başlatılması, kötü amaçlı yazılımın yürütülmesini hedeflenen sistemde aynı anda tek bir örnekle sınırlama işlevi gören “kwnmsgyyay” adlı benzersiz bir muteksin oluşturulmasıyla sonuçlanır.
Söz konusu muteksin kurulması üzerine kötü amaçlı yazılım, kötü amaçlı yazılımın sanallaştırılmış bir ortamda yürütülmesini engellemek amacıyla hazırlanmış olan AntiVM() işlevini yürütür.
Etkilenen Tarayıcılar ve Kripto Para Cüzdanları
Bu kötü amaçlı yazılım, birkaç popüler web tarayıcısından “Çerezler”, “Otomatik Doldurmalar”, “Giriş Verileri” ve “Web Verileri”ni çalabilir:-
- Mozilla Firefox
- Google Chrome
- Cesur Tarayıcı
- Krom
- Microsoft Kenarı
Kötü amaçlı yazılım, web tarayıcılarının yanı sıra, aşağıdakiler de dahil olmak üzere bir dizi kripto para cüzdanından önemli dosyaları çalabilir: –
- atomik
- Koruma
- Coinomi
- Bitcoin
- elektrum
- Çıkış
WhiteSnake Stealer, belirlenmiş dizinler aracılığıyla kripto para cüzdanlarına yetkisiz erişim elde etme yeteneği ve bu tür cüzdanlarla ilişkili tarayıcı uzantılarından hassas bilgileri çıkarma kapasitesi dahil olmak üzere bir dizi gelişmiş işlevsellik sergiler.
öneriler
CRIL’in siber güvenlik uzmanları tarafından aşağıda listelediğimiz bazı öneriler var:-
- Warez veya torrent sitelerinden korsan yazılım indirmediğinizden emin olun.
- Daima güçlü ve benzersiz parolalar kullanın.
- Çok faktörlü kimlik doğrulamayı etkinleştirdiğinizden emin olun.
- Herhangi bir kullanıcı parolası kullanmayın.
- Otomatik yazılım güncelleme özelliğinin etkinleştirildiğinden emin olun.
- Saygın bir anti-virüs kullanmanız önerilir.
- Güvenilmeyen e-postalardan gelen bağlantıları veya ekleri açmadığınızdan emin olun.
- Kötü amaçlı yazılım yaymak için kullanılabilecek URL’lerin engellenmesi önerilir.
- Ağ düzeyinde, işaretin izlendiğinden emin olun.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin