Microsoft, yeni bir uzaktan erişim Trojan’a (sıçan) dikkat çekiyor Stillail Söylediğini, hassas verileri çalmak için nihai bir amaç ile hedef ortamlarda tespit ve hedef ortamlarda devam etmek için gelişmiş teknikler kullandığını söyledi.
Kötü amaçlı yazılım, “Tarayıcıda depolanan kimlik bilgileri, dijital cüzdan bilgileri, panoda depolanan veriler ve sistem bilgileri gibi” hedef sistemden bilgileri çalma özellikleri içeriyor.
Teknoloji devi, “wwstartupctrl64.dll” adlı bir DLL modülünde bulunan sıçan özellikleri ile Kasım 2024’te Stilachirat’ı keşfettiğini söyledi. Kötü amaçlı yazılım herhangi bir tehdit oyuncusu veya ülkesine atfedilmemiştir.
Şu anda kötü amaçlı yazılımların hedeflere nasıl teslim edildiği açık değil, ancak Microsoft bu tür Truva atlarının çeşitli başlangıç erişim yolları aracılığıyla kurulabileceğini ve kuruluşların yeterli güvenlik önlemlerini uygulamasını çok önemli hale getirdiğini belirtti.
Stilachirat, işletim sistemi (OS) detayları, BIOS seri numaraları, kamera varlığı, aktif uzak masaüstü protokolü (RDP) oturumları ve grafik kullanıcı arayüzü (GUI) uygulamaları gibi donanım tanımlayıcıları dahil olmak üzere kapsamlı sistem bilgilerini toplamak için tasarlanmıştır.
Bu ayrıntılar, WMI Sorgu Dili (WQL) kullanılarak Bileşen Nesne Modeli (COM) Web Tabanlı Kurumsal Yönetim (WBEM) arabirimleri aracılığıyla toplanır.
Ayrıca Google Chrome Web tarayıcısına yüklenen kripto para birimi cüzdan uzantılarının bir listesini hedeflemek için tasarlanmıştır. Liste bitk cüzdanı, güven cüzdanı, tronlink, metamask, TokenPocket, BNB zincir cüzdanı, OKX cüzdanı, sui cüzdanı, Braavos – Starknet cüzdanı, Coinbase cüzdanı, sıçrama cüzdan cüzdanı, manta cüzdanı, keprr, fraktal cüzdan, pusula cüzdanı, matematik cüzdanı, pusula cüzdanı, pusula cüzdanı, pusula cüzdanı.
Ayrıca, Stilachirat, krom tarayıcıda depolanan kimlik bilgilerini çıkarır, periyodik olarak şifreler ve kripto para cüzdanları gibi pano içeriğini toplar, ön plan pencere bilgilerini yakalayarak RDP oturumlarını izler ve hasat edilen verileri yaymak için uzak bir sunucu ile temas kurar.
Komut ve kontrol (C2) sunucu iletişimi iki yönlüdür ve kötü amaçlı yazılımın gönderdiği talimatları başlatmasına izin verir. Özellikler, hem casusluk hem de sistem manipülasyonu için çok yönlü bir araca işaret ediyor. 10 farklı komut desteklenir –
- 07 – Verilen bir URL’den oluşturulmuş HTML içeriğine sahip bir iletişim kutusu görüntüleyin
- 08 – olay günlüğü girişlerini temizleyin
- 09 – Belgelenmemiş bir Windows API’sini kullanarak sistem kapatmayı etkinleştirin (“ntdll.dll! NtshutdownSystem”)
- 13 – C2 sunucusundan bir ağ adresi alın ve yeni bir giden bağlantı kurun.
- 14 – Verilen TCP bağlantı noktasında gelen bir ağ bağlantısını kabul edin
- 15 – Açık ağ bağlantılarını sonlandırın
- 16 – Belirli bir uygulamayı başlatın
- 19 – İstenen başlık çubuğu metnini aramak için geçerli masaüstünün tüm açık pencerelerini numaralandırın
- 26 – Sistemi askıya alınmış (uyku) bir duruma veya hazırda bekletme
- 30 – Google Chrome şifrelerini çalın
Microsoft, “Stilachirat, olay günlüklerini temizleyerek ve algılamadan kaçınmak için belirli sistem koşullarını kontrol ederek anti-forensik davranışlar sergiliyor.” Dedi. “Bu, kötü amaçlı yazılım analizi için yaygın olarak kullanılan sanal ortamlarda tam aktivasyonunu önleyen analiz araçları ve kum havuzu zamanlayıcılar için döngü kontrolleri içerir.”
Açıklama, Palo Alto Networks Birimi 42, geçen yıl algıladığı üç olağandışı kötü amaçlı yazılım örneği olarak gelir, C ++/CLI’da geliştirilen pasif bir internet bilgi hizmetleri (IIS) arka kapısı, bir gub 2 önyükleme işlemini yüklemek için güvenli olmayan bir çekirdek sürücüsü kullanan bir bootkit ve C+’da bir çapraz platform sonrası çerçevenin bir penceresi implantının bir Windows implantı olarak adlandırılır.
IIS Backdoor, önceden tanımlanmış bir başlık içeren bazı gelen HTTP isteklerini ayrıştırmak ve içindeki komutları yürütmek, komutları çalıştırma, sistem meta verileri alma, yeni işlemler oluşturma, PowerShell kodunu yürütme ve kabuk kodu bir çalışma veya yeni sürece enjekte etmek için donatılmıştır.
Öte yandan, bootkit, ampa.sys adlı meşru olarak imzalanmış bir çekirdek sürücüsü aracılığıyla bir Grub 2 önyükleyici disk görüntüsünü yükleyen 64 bit bir DLL’dir. Mississippi Üniversitesi’nden bilinmeyen taraflar tarafından oluşturulan bir kavram kanıtı (POC) olarak değerlendirilmiştir.
Ünite 42 araştırmacı Dominik Reichel, “Yeniden başlatıldığında, Grub 2 önyükleyici bir görüntü gösteriyor ve PC hoparlör aracılığıyla periyodik olarak Dixie’yi oynuyor. Bu davranış kötü amaçlı yazılımın saldırgan bir şaka olduğunu gösterebilir.” Dedi. “Özellikle, kötü amaçlı yazılımın bu özelleştirilmiş Grub 2 önyükleyici görüntüsüyle bir sistemi yama yapmak yalnızca belirli disk yapılandırmaları üzerinde çalışır.”