Sürekli gelişen Infostealer manzarasında, 0BJ3CTivityStealer müthiş bir tehdit olarak ortaya çıkar ve gelişmiş sersemlemeyi hedeflenen veri söndürme ile harmanlar.
Bu yılın başlarında HP Wolf Güvenlik Araştırmacıları tarafından keşfedilen bu .NET tabanlı kötü amaçlı yazılım, Trellix Advanced Araştırma Merkezi tarafından proaktif tehdit avında gözlemlenerek, kimlik avı odaklı yeni bir kampanyayı ortaya çıkardı.
Enfeksiyon, kurbanları mediafire tarafından barındırılan JavaScript dosyalarına yönlendiren bir “indirme” bağlantısını tıklamaya cazip olan fabrikasyon satın alma siparişlerinin düşük çözünürlüklü görüntülerini içeren “Teklif Teklifi” nin temalı e-postaları başlatır.
3.000’den fazla önemsiz kodla ağır bir şekilde gizlenmiş olan bu ilk komut dosyası, archive.org’da barındırılan bir JPG görüntüsünden steganografik olarak gizlenmiş bir .NET yükleyici getiren bir PowerShell yüküne dönüşür.
Sofistike dağıtım mekanizması
Belirli bir onaltılık desen (0x42 0x4d 0x32 0x55 0x36 0x00 0x00 0x00 0x00 0x00 0x36 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x36 0x00 0x00 0x00 0x00 0x00 0x00), daha sonra dnlib invasyon yoluyla yürütülen rgb piksel değerlerini yeniden yapılandırarak.
Bu VMDetector yükleyici, planlanan görevler yoluyla kalıcılık oluşturur ve son 0BJ3CtivityStealer yükünü bir CloudFlare R2 alt alanında tersine çevrilmiş bir baz 64 kodlu dosyadan elde edilen regasm.exe’ye enjekte etmek için süreç oyununun kullanılması kullanır.
Steganografi ve yansıtıcı yüklemeyi içeren böyle bir zincir, diğer Infostealer ailelerinde görülen taktikleri yansıtıyor, ancak gelişmiş gizli için özel PowerShell deobfuscation tanıtıyor ve otomatik kum havuzlarında tespit.
Kötü amaçlı yazılım antianalysis cephaneliği eşit derecede sağlamdır, Base64 yoluyla dize şifrelemesini ve çıkarma algoritmalarını, randomize tanımlayıcılarla kontrol akışı düzleştirilmesi ve ters mühendisliği bozmak için önemsiz kod eklemeleridir.
Sanal ortam, Hyper-V veya VMware artefaktları için WMI sorgularının yanı sıra, SBIEDLL ve CMDVRT32 gibi hedef DLL’leri kontrol ederken, API checkremotedebuggerpresent’i çağırarak, kendi kendine aşınma içinde silinme izleri için özetleme olarak doruk noktasını sağlıyor.
Bu mekanizmalar sadece statik analizden kaçmakla kalmaz, aynı zamanda operasyonel gizliliği uzatır ve stealer’ın yüksek değerli varlıklara girmeden önce CPU/GPU detayları, RAM metrikleri, ağ konfigürasyonları, yüklü uygulamalar ve Windows lisans anahtarlarını içeren kapsamlı sistem meta verilerini numaralandırmasına izin verir.
Sunum stratejileri
0bj3CtivityStealer’ın yetenekleri, geçmişlerin, çerezlerin, şifrelerin, otomatik doldurma, yer imle ve kredi kartlarının çıkarılması yoluyla krom ve kertenkele tarayıcılardan kimlik bilgilerine öncelik vererek geniş bir hassas veri spektrumuna uzanır.
Ayrıca, şifreli dosyaları kopyalayarak Telegram, Signal, Tox, Discord ve Pidgin gibi anlık mesajlaşma platformlarına, Outlook’tan e -posta kimlik bilgilerini toplarken, kayıt defteri sorguları aracılığıyla Windows mesajlaşma ve Foxmail’i MassLogger tekniklerine benzer şekilde şifre çözme yoluyla sızdırıyor.
Kripto para birimi varlıkları, hem krom hem de kenar profillerinde Metamask, Phantom ve Ronin için tarayıcı uzantılarının yanı sıra Zcash, Armory, Ethereum ve diğerleri için kötü amaçlı yazılım cüzdan dizinleri ile en önemli odak noktasıdır.
Ek vektörler arasında FileZilla kimlik bilgileri, WiFi profilleri ve pano izleme bulunur, ancak ikincisinin kripto para birimi kaçırma, mobil kimlik hedefi hırsızlığı için dizüstü bilgisayar merkezli bir tasarım sergilemek için uygulanmamıştır.
Exfiltration, gelecekteki uyarlanabilirlik için yer tutucuları kullanan uykuda SMTP seçenekleri ile desteklenen asimetrik şifreleme ile api.telegram.org uç noktalarına fermuarlı veri göndererek tek yönlü telgraf bot iletişimine dayanır.
Bu döngü tabanlı yürütme, komut alımı olmadan tekrarlanan veri hasatını sağlar ve ihlal potansiyelini artırır.
Telemetri, ABD, Almanya ve Karadağ’da hükümet ve üretim sektörlerinde zirve yaparak, fırsatçı küresel hedeflemenin altını çizerek yaygın etkiyi göstermektedir.
Azaltma, Infostealer.msil gibi Trellix imzaları dahil olmak üzere katmanlı savunmalar gerektirir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer | Tanım |
|---|---|---|
| MD5 | 2F32E9E485B127C1BDCAF7984CC7485A | Javascript betiği |
| MD5 | E7E92F9381C57673D3E9F7508059E06A | JPG görüntüsü |
| MD5 | 15b5ddbb3f4b0383ec5fc8ea2cf5c8db | .Net Yükleyici |
| MD5 | A1A13F3AB6D19F87DDDDDB6D238A5E2 | 0bj3ctivity Teals |
| SHA1 | 1D59BF8C488EB6F43C7B5E7164F82B164E39EC10 | Javascript betiği |
| SHA1 | 10A9AF5AF5095195A186B2268D25002052BF34 | JPG görüntüsü |
| SHA1 | 4C5D3468D3474816C6810599E470949F1B2A3D68 | .Net Yükleyici |
| SHA1 | 4749ED09E04F4A9A1533413C3BA7E72943807DB | 0bj3ctivity Teals |
| SHA256 | fda1d464861k16072605f2a390e710b18353cae798fd0f41b67a9556fe24e2 | Javascript betiği |
| SHA256 | 6FD22B60AFBD013A480C096ECC4DA6CC89F7E805D44FC68EC18A4BE8464259B0 | JPG görüntüsü |
| SHA256 | 9A50E74303CB3392A5F5221815CD210AF6F4BF9632ED8C4007A12DEFDFA50D | .Net Yükleyici |
| SHA256 | 01DB63A854C81A69F00DD3C1A6DEE056F3429F07882E3B2E06D7E486143391 | 0bj3ctivity Teals |