Araştırmacılar, geliştiricisi tarafından Facebook’ta tanıtılan, alıcılarla bağlantı kurmak ve hırsızın satışta reklamını yapmak için sosyal medya platformunu kullanan ‘Invicta Stealer’ adlı yeni bir bilgi hırsızı tespit etti.
İlginç bir şekilde tehdit aktörü, Invicta hırsızını desteklemek için bir YouTube kanalı da oluşturmuştu. Oluşturucunun GitHub’daki kullanılabilirliği nedeniyle Invicta hırsızını kullanmanın birkaç örneği bulundu.
Invicta hırsızının onaylanması
Invicta hırsızının artan kullanım oranı (Fotoğraf: Cyble)
Facebook, YouTube ve GitHub’ın yanı sıra geliştiricisi, popülaritesini artırmak ve alıcıları çekmek için ücretsiz bir hırsız oluşturucu sundu. Bazı YouTube kullanıcıları, bilgi hırsızı hakkında platformda olumlu eleştiriler yayınladı.
Invicta hırsızı bir kullanıcıya nasıl gönderilir?
Kullanıcılara, HTML sayfası eklenmiş bir spam e-posta gönderilir. HTML sayfası, GoDaddy’den gelen bir geri ödeme faturası gibi görünecek şekilde tasarlanmıştır. Hileli geri ödeme HTML sayfası açıldığında, adlı başka bir dosyayı indiren bir Discord sayfası açılır. fatura.zip.
Zip dosyası, adında bir kısayol dosyası içerir. INVOICE_MT103.Mürekkep. Kullanıcının bir PowerShell komutunu tetikleyen .lnk dosyasını açmasını gerektirir.
Invicta hırsızının enfeksiyon zinciri (Fotoğraf: Cyble)
Cyble Research & Intelligence Labs’den araştırmacılar, hakkında daha fazla bilgi edinmek için Invicta hırsızının 64-bit GUI ikilisini vahşi ortamdan analiz ettiler. Bulunan ayrıntılar aşağıdadır –
- SHA256 karması 067ef14c3736f699c9f6fe24d8ecba5c9d2fc52d8bfa0166ba3695f60a0baa45 şeklindedir.
- Bilgilerini gizlemek için şifreli dizelere sahiptir.
- İşlemleri için SYSCALLS kullanır.
- Aynı anda birden çok görevi gerçekleştirmek için çoklu iş parçacığı kullanır.
Invicta hırsızı kullanılarak çalınan veriler
Invicta hırsızı, hedefin konumu, saat dilimi ve sistemdeki dil hakkında bilgi sahibi olmak için sistem ve donanım verilerini çalar.
Gereksinim duyduğu donanım verilerinin ana bellek boyutu, CPU çekirdek sayısı, ekran çözünürlüğü, donanım kimliği, IP adresi ve Geo IP verileri olduğu bulundu.
Invicta hırsızı aşağıdaki hassas sistem bilgilerini çalar:
- Bilgisayar adı
- Sistem kullanıcı adı, saat dilimi ve dil
- İşletim sistemi sürümü
- Çalışan işlemlerin adları
- Donanım verileri
Invicta hırsızından çalınan veriler, adlı bir metin dosyasında birleştirilir. sys_info.txt ve işlemin arkasındaki bilgisayar korsanlarına gönderilmek üzere bellekte saklanır. Tüm verileri sistemden topladıktan sonra geçici olarak sistemin belleğinde saklar.
Invicta, aşağıda gösterildiği gibi donanım kimliğine sahip rastgele bir adla sıkıştırılmış bir zip dosyası oluşturur:
(Fotoğraf: Cyble)
Dosya, bilgisayar korsanının cüzdanlarından ve bankalardan para çalmak ve hedefin verileriyle daha ilgili kimlik avı e-postaları oluşturmak gibi başka saldırılar oluşturmak için kullandığı C&C sunucusuna veya Discord webhook’a gönderilir.
Invicta hırsızının hedefleri
- anlaşmazlık – Hedeften gerekli tüm bilgileri çaldıktan sonra, Invicta ondan veri çalmak için sistemdeki Discord uygulamasının varlığını arar.
- Cüzdanlar – Sistem üzerinde cüzdan arar. Cyble blogunda belirtildiği gibi 25’ten fazla cüzdandan çalabilir. Bunlardan bazıları Neon, Zcash, VERGE, WalletWasabi, Exodus, Bitcoin, Coinomi, Dogecoin, Electrum, Litecoin ve benzeridir.
- Tarayıcılar – Bilgi hırsızı, cüzdan verilerini aradıktan sonra, kredi kartı bilgileri, tarayıcı geçmişi, anahtar kelimeler, oturum açma verileri vb. Bunlardan bazıları Chromium, Yandex, Vivaldi, Opera Neon, 360Browser, Microsoft Edge, BraveSoftware, Google Chrome vb.
- Buhar – Aktif oyun oturumlarını, kullanıcı adlarını, kurulu oyunları vb. çalmak için oyun uygulaması Steam’e erişilir.
- KeyPass şifre yöneticisi – Web siteleri ve uygulamalar için parolalar içerebilen bu parola yöneticisi, kimlik bilgilerini elde etmek için Invicta hırsızı tarafından da saldırıya uğrar.
Veri ve gizlilik kaybı
(Fotoğraf: Cyble)
Bilgi hırsızı, bir sistemin çoğu konumundan çoğu veriyi çalacak şekilde donatılmıştır, bu da bir kimlik avı e-postasının ilk bakışta algılanıp kaçınılmasını önemli hale getirir. gibi akılda kalıcı konular geri ödemeler bilgisayar korsanları tarafından kullanıcıların gelen bir krediyle ilgili olduğunu düşünmelerini sağlamak için kullanılır.
Invicta hırsızının satıcısı tarafından 13 Mayıs’ta yapılan bir gönderide, “Bir web paneli içeren ucuz bir abonelik oluştursaydık (diğer hırsızların 150 ABD doları ücretlendirmesine kıyasla ayda 50-80 ABD dolarına kadar), ürünümüzü kullanır mıydınız?”
“Kötü amaçlı yazılımı kitlesel olarak yayarsanız, günlüklerinizden çok daha fazla para kazanmanıza yardımcı olacak bir teklifimiz olduğu için bize bir mesaj gönderin. Lütfen ne yaptığınızı bilmiyorsanız, trafiğiniz düşükse veya kripto para birimlerini hedeflemediyseniz bize mesaj atmayın.