Octalyn Stealer, organize klasör yapısında vpn yapılandırmalarını, şifreleri ve çerezleri hasat eder

GitHub’a açıkça erişilebilen Octalyn ForenceSic araç seti, kırmızı ekip ve dijital adli tıp için bir araştırma aracı olarak ortaya çıkan güçlü bir kimlik bilgisi stealer olarak ortaya çıktı. Bu siber güvenlik için endişe verici bir gelişme.

C ++ tabanlı bir yük modülü ve Delphi tarafından yapılmış bir grafik kullanıcı arayüzü (GUI) oluşturucu ile geliştirilen araç seti, yük üretimini basitleştirerek tehdit aktörleri için bariyeri düşürür.

Kullanıcılar, gerçek zamanlı veri açığa çıkabilen tamamen işlevsel ikili dosyalar oluşturmak için yalnızca bir telgraf bot jetonu ve sohbet kimliğine ihtiyaç duyarlar.

Eğitim niyet iddialarına rağmen, statik analiz temel işlevselliği, Google Chrome, Microsoft Edge ve Opera gibi platformlardan tarayıcı şifreleri, çerezler ve otomatik olarak bilgiler de dahil olmak üzere hassas verileri hedefliyor.

Modüler Tasarım Kolay Kimlik Hırsızlığı Sağlıyor

Stealer ayrıca, Bitcoin, Ethereum, Litecoin ve Monero gibi varlıklar için adresler, özel anahtarlar, tohumlar, cüzdan dosyaları ve tarayıcı uzatma verilerini gibi anlaşmazlık ve telgraf jetonları, VPN konfigürasyonları, oyun hesabı ayrıntıları ve kripto para birimi cüzdan artefaktlarını çıkarır.

Gizli bir şekilde yürütülen yük, Windows başlangıç klasörü girişleri ve HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run kapsamındaki kayıt defteri değişiklikleri aracılığıyla kalıcılık oluşturur ve sistem önyüklemesinde otomatik yeniden başlatma sağlar.

Build.exe gibi bileşenlerde 7’nin üzerindeki yüksek entropi skorları, ters mühendisliği önlemek için önemsiz verilerle ağır şaşkınlığı gösterirken, gömülü kaynaklar ek yürütülebilir ürünler telegrambuild.exe, rvn.exe ve montaj.

Dinamik analiz, çalıntı verilerin kripto cüzdanları, VPN, tarayıcılar, uyumsuzluk, oyunlar ve sosyaller için alt dizinler de dahil olmak üzere %Temp %\ 0CTalyn içinde yapılandırılmış klasörler halinde düzenlendiği Octalyn’in sofistike eksfiltrasyon mekanizmasını daha da ortaya çıkarır.

All_browsers_cookies.txt, autoFill.txt, Bookmarks.txt, Discord.txt, History.txt ve Passseslar gibi dosyalar, kolay saldırgan ayrıştırma, oturum kaçırma, profil veya daha fazla sömürü için hasat kimlik bilgilerini derleyin.

İkincil yük riskleri tehdidi artırıyor

Koleksiyon sonrası, bir PowerShell betiği, kurbanın kullanıcı adı OctalynretRieved.zip olarak atanan bir fermuarlı arşive sıkıştırır.

Cyfirma raporuna göre, bu şifreli kanal ağ denetimi yapar ve saldırganın telgraf altyapısından komut alımını sağlar.

Tehlikeye ek olarak, Base64 kodlu bir PowerShell komutu (UTF-16LE formatında), bir GitHub URL’den (https://github bir GitHub URL’den (https://github bir Github URL’den (https://github.com/git-user691/psycho/releason/download/v1/rundl32.exex.

Analiz sırasında dosya kullanılamamasına rağmen, canlı depo gelecekteki kötü niyetli teslimatlar için potansiyel önermektedir.

Araç setinin winsock tabanlı ağ, modüler tasarım ve hafif yapısı, onu son derece kaçınılmaz ve erişilebilir hale getirir, kimlik bilgisi erişim (T1555), kalıcılık (T1547.001) ve C2 (T1041) üzerinden eksfiltrasyon gibi ATT & CK tekniklerine eşleme yapar.

En son üç ay önce, Octalyn’in finansal varlıklara ve ikincil indiriciye odaklanması, geliştiricinin adli anlatısına rağmen kasıtlı kötü amaçlı mühendisliğe işaret ediyor.

Depo dosyalarından gelen meta veriler, yazarın PC kullanıcı adını bile ortaya çıkardı ve operasyonel güvenlik turlarının altını çizdi.

Güvenlik ekiplerinden, bu istismara eğilimli araçtan riskleri azaltmak için olağandışı % geçici % etkinlik, kayıt defteri değişiklikleri ve Telegram API trafiğini izlemeleri istenir.

Uzlaşma göstergeleri

Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.