Kırık Sharp ve TX kötü amaçlı yazılım hedefleri tarayıcılar, cüzdanlar ve FTP istemcileri


Hannibal stealer olarak adlandırılan yeni bir siber tehdit, başlangıçta ‘LLCPPC_REVERS’ tarafından tanıtılan Sharp ve Tx Stealers’ın yeniden markalı ve çatlak bir varyantı olarak ortaya çıktı.

C# ‘da geliştirilen ve .NET çerçevesinden yararlanan bu bilgi çalan kötü amaçlı yazılım, çok çeşitli hassas verileri hedefleyerek önemli bir risk oluşturmaktadır.

Hannibal Stealer, kimlik bilgilerini, çerezleri ve otomatik doldurma verilerini çıkarmak için Chrome Cookie V20 gibi gelişmiş korumaları atlayarak krom ve Gecko bazlı tarayıcılara odaklanır.

– Reklamcılık –
Google Haberleri

Erişim, Filezilla ve Total Commander gibi FTP müşterilerinin yanı sıra Metamask, Exodus ve Monero gibi kripto para cüzdanlarından veri toplayan tarayıcıların ötesine uzanır.

Ayrıca, kripto para birimi işlemlerini saldırgan kontrollü cüzdanlara yönlendirmek için bir kripto kesme modülü aracılığıyla pano kaçırma kullanırken, VPN kimlik bilgilerini, buhar oturumlarını, telgraf dosyalarını ve uyumsuzluk jetonlarını hedefler.

Gelişmiş taktikler ve aktif yeraltı varlığı

İlk olarak 2 Şubat 2025’te BreachForums’da ilan edilen abonelik fiyatlandırması, bir ay boyunca 150 $ ile yedi ay boyunca 650 $ arasında değişen Hannibal Stealer, birincil kanalında yaklaşık 10.000 aboneye sahip olan karanlık web platformlarında ve telgraf kanallarında agresif bir şekilde pazarlandı.

Hannibal Stealer
Darkforums’ta Gönderin

Kötü amaçlı yazılım, Rusya ve Belarus gibi belirli ülkelerde yürütmeyi sonlandırmak için geofencing de dahil olmak üzere, geliştiricilerin ev bölgelerinde kovuşturmayı önleyecek ileri kaçak taktikleri sergiliyor.

CyFirma Report’a göre, Binance ve PayPal gibi finansal ve kripto platformlarına bağlı kimlik bilgileri için çalıntı verileri tarayarak yüksek değerli hedeflere öncelik vermek için alan eşleştirme kullanır.

Hannibal’ın kapsamlı sistem profilleme yetenekleri ayrıntılı donanım ve ağ bilgileri toplarken, veri açığa çıkması, çalıntı günlükleri, jetonları ve ekran görüntülerini yönetmek için Django tabanlı bir kontrol paneli aracılığıyla kolaylaştırılır.

Hannibal Stealer
Hassas veri hırsızlığı

19 Nisan 2025 itibariyle yapılan son güncellemeler, 100 test kurulumu için 15 $ ‘dan 20.000 kurulum için 900 $’ a fiyatlandırılan ve sağlam bir siber suçlu ekosstemine işaret eden devam eden gelişimi göstermektedir.

Hannibal Stealer’ın daha önceki Sharp ve TX varyantlarıyla olan bağları, üst üste binen telgraf tutamaçları ve karanlık web forumlarındaki pazarlama kalıpları ile belirgindir, bu da telgraftan özel C2 sunucularına geçiş gibi yeniden markalama ve güncellenmiş eksfiltrasyon yöntemlerinin ötesinde minimal yenilik önermektedir.

Hacktivist nedenlerinin telgrafa yönelik nedenlerinin onaylanmasıyla vurgulanan finansal siber suçlar ve ideolojik gündemlerdeki ikili rolü, tehdit manzarasındaki güdülerin endişe verici bir şekilde yakınsamasının altını çiziyor.

Kötü amaçlı yazılım, proses enjeksiyonu (T1055), kimlik bilgisi dökümü (T1003) ve C2 kanalları (T1041) üzerinden eksfiltrasyon dahil olmak üzere çoklu miter ATT & CK teknikleriyle hizalanır, bu da siber suçlular için zorlu bir araç haline gelir.

Kuruluşlar, bu IOC’leri engelleyerek, EDR çözümlerini dağıtarak ve Hannibal Stealer’ın ortaya koyduğu riskleri azaltmak için hassas veri dizinlerine yetkisiz erişim izleyerek savunmaları desteklemeye istenmektedir.

Uzlaşma Göstergeleri (IOCS)

Sr. iyi. Gösterge Tip Notlar
1 F69330C83662EF3DD691F730CC05D9C44396EF363531417901A86E7C4D31C8 SHA256 Cefsharp.Browserssubprocess.exe
2 251d313029b900f1060b5aef7914cc258f937b7b4de9aa6c83b1d6c02b36863e SHA256 Cefsharp.Browserssubprocess.dll
3 hxxp: //45.61.151[.60/login/ URL Control Panel
4 45[.]61.141.160: 8001/giriş/ Url Kontrol Paneli
5 www[.]Hannibal[.]dev Url Kontrol Paneli

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link