Cyble’daki araştırmacılar yakın zamanda Hizmet Olarak Kötü Amaçlı Yazılım Infostealer ObserverStealer’ın yeni bir kimlik altında çalıştığını buldu. ObserverStealer, 2024 yılında gelişmiş bir Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) modelinden yararlanarak AsukaStealer olarak yeniden markalandı ve yenilendi.
2023’teki ObserverStealer’dan ilham alan ve onu temel alan AsukaStealer, yeni yetenekler, özellikler ve kullanıcıların toplamak istediği aynı eklenti, tarayıcı ve dosyaları sundu.
Yaratıcıları tarafından tanıtılan AsukaStealer, Komuta ve Kontrol (C&C) panelinden alınan birden fazla ekran görüntüsü aracılığıyla sergilenen bir dizi özellik sunarak hırsız bir kötü amaçlı yazılım olarak yeteneklerini ortaya koydu.
Bir aylık abonelik için 80 ABD doları fiyatla fiyatlandırılan bu ürün, kullanım kolaylığı için esnek ayarlar ve bir web paneli arayüzü sağlıyordu.
AsukaStealer’a Giriş: Hizmet Olarak Kötü Amaçlı Yazılım Bilgi Hırsızı
Cyble Research & Intelligence Labs’e (CRIL) göre tehdit aktörü, AsukaStealer’ı Rusça dilindeki bir forumda MaaS (Hizmet Olarak Kötü Amaçlı Yazılım) olarak pazarladı ve hiçbir şeyden haberi olmayan kurbanlardan hassas bilgileri gizlice çalmayı amaçlayan kapsamlı bir yetenek paketi sundu. .
AsukaStealer özünde, ağırlıklı olarak C++ ile kodlanmış ve esnek yapılandırma ve kontrol için web tabanlı (GUI) bir panelle donatılmış, titizlikle hazırlanmış bir kötü amaçlı yazılım parçasıdır.
Kötü amaçlı yazılımın birincil hedefi, hedeflenen sistemlerden çok sayıda hassas veri toplamaktı.
AsukaStealer, tarayıcı kimlik bilgilerinden Discord token’larına, kripto para cüzdanlarından masaüstü ekran görüntülerine kadar değerli bilgi arayışında neredeyse çevrilmemiş hiçbir taş bırakmadı.
AsukaStealer ilk olarak 2 Şubat 2024’te Hizmet Olarak Kötü Amaçlı Yazılım modeli altında çalışırken gözlemlendi. Symantec bu tehdidi şu şekilde tanımladı: Dosya tabanlı: Infostealer Trojan.Gen.MBT, Makine Öğrenimi tabanlı: Heur.AdvML.B ve Web tabanlı: Gözlemlenen etki alanları/IP’ler, tüm WebPulse özellikli ürünlerde güvenlik kategorileri kapsamındadır.
AsukaStealer Kodunu Analiz Etme
AsukaStealer_configuration.txt dosyasını analiz eden Cyber Express, yapılandırma kodunun muhtemelen Discord, tarayıcılar veya Steam gibi oyun platformları için içerik yakalama veya indirme aracına yönelik bir yapılandırma veya kurulum komut dosyasına atıfta bulunduğunu buldu.
Çeşitli tarayıcıların kullanıcı veri dizinleri, Discord kurulum yolları ve hatta Steam ve Battle.net gibi oyunla ilgili bazı dizinler için yollar içeriyordu. Ek olarak, belirli dosyalara ve DLL’lere referanslar içeriyordu ve bu dosyalarla bir tür manipülasyon veya etkileşim olduğunu gösteriyordu.
Kodun ikinci kısmı, muhtemelen çıkarma veya değiştirme amacıyla belirli uygulamalarla ve bunların veri depolama konumlarıyla ilgili dosya yollarını ve kalıplarını içeriyor gibi görünüyordu.
Kod, potansiyel olarak veri çıkarma amacıyla web tarayıcıları, oyun platformları ve diğer uygulamalarla ilgili çeşitli dosya ve dizinleri bulmak ve bunlarla etkileşim kurmak için tasarlanmış bir komut dosyası gibi görünüyordu.
ObserverStealer’ın Dirilişi: Bağlantıyı Ortaya Çıkarmak
Daha yakından incelendiğinde AsukaStealer’ın, 19 Temmuz 2023’te operatörler tarafından kapatılan selefi ObserverStealer ile çarpıcı bir benzerlik taşıdığı ortaya çıktı.
Ayrıntılı araştırma, iki kötü amaçlı yazılım türü arasında örtüşen özellikleri, operasyonel metodolojileri ve hatta paylaşılan altyapıyı ortaya çıkardı.
Bu durum, siber güvenlik uzmanlarının, her iki kampanyayı da düzenleyen aynı tehdit aktörlerinin dahil olduğu konusunda spekülasyon yapmasına yol açtı; bu da, kötü amaçlı araçlarını sürekli olarak iyileştirmek ve çoğaltmak için ortak bir çaba sarf edildiğinin göstergesi.
AsukaStealer’ın operasyonel dinamikleri, modern siber suç kuruluşlarının işleyiş tarzına dair değerli bilgiler sundu.
Kötü amaçlı yazılımın destekçileri, çok sayıda özelleştirme seçeneği ve popüler tarayıcılar ve mesajlaşma platformlarıyla kusursuz entegrasyonla vurgulanan çok yönlülüğünü öne çıkardı.
Ayrıca, özellikle Neon Genesis Evangelion’daki Asuka Langley Soryu karakterine gönderme yapan anime temalı görüntülerin stratejik kullanımı, tehdit aktörlerinin Japon anime ve mangalarından nasıl etkilendiğine ve onlardan nasıl ilham aldığına dair hikayemizi geri getirdi.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılara güvenme konusunda tüm sorumluluk kendilerine aittir. Cyber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.