Kimlik gerçeği hırsızlığının sınırlarını yeniden tanımlayan bir Hizmet Olarak Bilgi Çalan Kötü Yazılım (MAAS) olan Katz Stealer’ın ortaya çıkışı.
İlk olarak bu yıl tespit edilen Katz Stealer, agresif veri eksfiltrasyonunu gelişmiş sistem parmak izi, gizli kalıcılık mekanizmaları ve kaçamaklı yükleyici taktikleri ile birleştiriyor.
Öncelikle kimlik avı e -postaları ve sahte yazılım indirmeleri yoluyla dağıtılan bu kötü amaçlı yazılım, tarayıcı kimlik bilgilerinden ve kripto para birimi cüzdan verilerinden Discord ve Telegram gibi platformlardan oturum belirteçlerine kadar çok çeşitli hassas bilgileri hedefler.
.png
)
Bellek içi işletme ve modüler yükler dağıtma yeteneği, maksimum gizlilik sağlar ve bu da onu dünya çapında güvenlik ekipleri için zorlu bir zorluk haline getirir.
Kötü amaçlı yazılım manzarasında yeni bir tehdit
Katz Stealer’ın enfeksiyon zinciri, geleneksel güvenlik önlemlerini atlamak için tasarlanmış titizlikle hazırlanmış birden fazla aşamada ortaya çıkan kaçırma konusunda bir masterclass.
Saldırı genellikle, niyetini belirlemek için tip zorlama ve polimorfik birleştirme gibi aldatıcı kodlama tekniklerini kullanan, gizlenmiş bir JavaScript damlası içeren kötü niyetli bir GZIP arşivi ile başlar.
Komut dosyası yürütüldükten sonra, PowerShell’i archive.org gibi platformlardan sadece zararsız bir görüntü dosyasını indirmek için gizli parametrelerle davet eder, yalnızca steganografi kullanılarak gizlenmiş bir temel kodlu yükü çıkarmak için.
Picus Güvenlik Raporuna göre, bir .NET yükleyici olan bu yük, yüksek ayrıcalıklar elde etmek için CMSTP.EXE aracılığıyla bir UAC bypass’ı kullanmadan önce yerlileri hedefleyen ve sanallaştırılmış ortamları işaretleyen coğrafi kaplama ve sanal alan kontrolleri gerçekleştirir.
Çok aşamalı enfeksiyon zinciri
Nihai Stealer bileşeni, işlem oyu yoluyla msBuild.exe gibi meşru süreçlere enjekte edilir ve 185.107.74 gibi sunucularla kalıcı komut ve kontrol (C2) iletişim kurarken radar altında çalışmasını sağlar.[.]40.
Tarayıcıların ötesinde, Katz Stealer, Discord’un JavaScript paketine kötü amaçlı kod enjekte ederek yenilikler, güvenilir uygulamayı başlangıçta saldırgan komutlarını getiren ve otomatik plakalak davranış yoluyla dayanağını daha da güçlendiren bir arka kapıya dönüştürür.
Katz Stealer’ı ayıran şey, veri hırsızlığı ve kalıcılığa odaklanmasıdır.
78’den fazla tarayıcı varyantını hedefler, “yerel durum” dosyalarında şifreli ana anahtarlara erişerek ve Firefox’un profil dizinlerinden oturum çerezlerini çıkararak krom tabanlı tarayıcılardaki kimlik bilgilerini çözer.
Erişim kripto para cüzdanlarına uzanır, Exodus gibi masaüstü uygulamaları ve metamask gibi tarayıcı uzantıları için tarama, TCP veya HTTPS kanalları aracılığıyla derhal eksfiltrasyon için verileri ayırt edici bir “Katz-on -top” kullanıcı ajanı işaretleyicisi ile düzenler.
Varlık sonrası, adli tıp için geçici dosyaları temizlerken, MAAS modeli kullanıcı dostu bir web paneli ile tamamlanırken, çalınan verileri zahmetsizce özelleştirmek ve dışa aktarmak için düşük vasıflı tehdit aktörlerine bile güç verir.
Teknik sofistike ve erişilebilirliğin bu yakınsaması, Katz Stealer’ın neden kritik bir tehdit olduğunu, sağlam tespit stratejileri ve çok yönlü saldırı vektörlerine karşı koymak için sürekli güvenlik doğrulaması gerektirdiğini vurgulamaktadır.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Detaylar |
|---|---|
| C2 Sunucular | 185.107.74[.]40, 31.177.109[.]39, Twist2Katz[.]com, pub-ce02802067934e0eb072f69bf6427bf6[.]R2[.]dev |
| İlgili Alanlar | katz silerek[.]com, Katzstealer[.]com |
| Şüpheli Kullanıcı Ajanı | Mozilla/5.0… Safari/537.36 Katz-Ontop |
| Dosya Artefaktları | Katz_ontop.dll, cotir_dll.dll (temp), şifresini çözdü_chrome_key.txt (AppData) |
| Dosya Hashes (SHA256) | Başlangıç GZIP: 22AF84327CB8ECAFA44B51E949238CA2798CEC38C2076B702C60C72505329CB, JS aşaması: e4249cf955799e8123e0b21b6a4be5ab8b67d56dc5bfad34a1d4e76f7fd2b19 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin