ARECHClient2 olarak da bilinen Sectoprat, .NET çerçevesi kullanılarak geliştirilen sofistike bir uzaktan erişim Trojan’dır (sıçan).
Bu kötü amaçlı yazılım, gelişmiş gizleme teknikleri ile ünlüdür, bu da analiz etmeyi ve tespit etmeyi zorlaştırır.
Son zamanlarda, siber güvenlik araştırmacıları, Sectoprat’ın kendisini “Google Dokümanlar” adlı meşru bir Google Chrome uzantısı olarak gizlediği yeni bir kampanya ortaya çıkardılar ve gizli ve veri hırsızlığı özelliklerini daha da artırdı.
Gelişmiş gizleme ve yetenekler
Sectoprat, statik analizi önemli ölçüde karmaşıklaştıran bir teknik olan calli obfuscator’u kullanır.
Callifixer gibi araçları kullanarak kodu bozma girişimlerine rağmen, kötü amaçlı yazılımların temel işlevleri gizli kalır.
Bununla birlikte, kısmi ayrışma yoluyla, araştırmacılar aşağıdakileri içeren kapsamlı yeteneklerini belirlediler:
- Çerezler, kaydedilmiş şifreler, otomatik doldurma bilgileri ve şifreli anahtarlar gibi tarayıcı verilerini çalmak.
- Donanım, işletim sistemleri ve yüklü yazılım hakkında ayrıntılar toplayarak kurban sistemlerini profilleme.
- VPN’ler (NordVPN, ProtonVPN), oyun başlatıcıları (Steam) ve İletişim Platformları (Telegram, Discord) gibi uygulamaları hedefleme.
- Kripto para birimi cüzdanları ve FTP kimlik bilgileri için tarama.
Sectoprat’ın hassas bilgileri dışarı atma yeteneği, hem infostealer hem de bir uzaktan kumanda aracı olarak ikili rolünü vurgular.
Bir analize göre, şifreli kanallar kullanarak, tipik olarak 9000 ve 15647 bağlantı noktaları üzerinde komut ve kontrol (C2) sunucusu ile iletişim kurar.
Kötü niyetli krom uzantısı kılık değiştirme
Bu kampanyanın en endişe verici yönlerinden biri, Sectoprat’ın “Google Dokümanlar” olarak görünen sahte bir Google Chrome uzantısı kullanmasıdır.
Enfeksiyon üzerine, kötü amaçlı yazılım dosyaları gibi indirir. manifest.json– content.jsVe background.js C2 sunucusundan.
Bu dosyalar uzantıyı aşağıdakilere etkinleştirir:
- Ziyaret edilen tüm web sayfalarına kötü amaçlı komut dosyaları enjekte edin.
- Kullanıcı adları, şifreler, kredi kartı detayları ve form verileri gibi kullanıcı girişlerini yakalayın.
- Çalınan verileri saldırganın C2 sunucusuna iletin.
Uzatma, Google Dokümanlar için çevrimdışı düzenleme özellikleri sağlama kisvesi altında çalışır, ancak bunun yerine sofistike bir Keylogger ve Veri Dövme Aracı olarak işlev görür.
Bu kampanya ile ilişkili temel IOC’ler şunları içerir:
- Dosya karma: Eed3542190002ffb5ae2764b3ba7393b
- C2 Sunucular: 9000 ve 15647 bağlantı noktalarında 91.202.233.18
- Kötü amaçlı URL’ler:
http://91.202.233[.]18/wbinjget?q=...Vehttps://pastebin.com/raw/wikwTRQc - Muteks Adı49C5E6D7577E447BA2F4D6747F56C473
Sectoprat’ın tespitten kaçınırken meşru yazılımı taklit etme yeteneği, hem bireyler hem de kuruluşlar için önemli bir tehdit oluşturmaktadır.
Kötü amaçlı yazılım anti-analizi özellikleri, santa anti-sanal makine mekanizmaları ve şifreli C2 iletişimi gibi özellikle zorlaşır.
Riskleri azaltmak için:
- Tanımlanan C2 sunucularına ağ trafiğini engelleyin.
- Dizinlerde şüpheli dosya etkinliğini izleyin
%AppData%/Local/llg. - Bilinmeyen veya şüpheli krom uzantıları kaldırın.
- Davranış temelli tehdit algılama sistemlerini kullanın.
- Güvenilmeyen .NET uygulamalarının yürütülmesini kısıtlayın.
Bu kampanya, son derece kaçınma kötü amaçlı yazılımları dağıtmak için tarayıcılar gibi güvenilir platformlardan yararlanmada siber suçluların gelişen taktiklerinin altını çiziyor.
Geliştirilmiş uyanıklık ve proaktif güvenlik önlemleri, bu tür tehditlerle etkili bir şekilde mücadele etmek için gereklidir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free