GitHub’da meşru bir adli araç seti olarak gizlenen sofistike yeni bir kimlik bilgisi stealer, VPN konfigürasyonları, tarayıcı kimlik bilgileri ve kripto para birimi cüzdan bilgileri dahil olmak üzere hassas kullanıcı verilerini hedefleyerek ortaya çıktı.
İlk olarak Temmuz 2025’te tanımlanan Octalyn Stealer, büyük ölçekli veri hırsızlığı ve eksfiltrasyon için tasarlanmış tamamen operasyonel bir kötü amaçlı yazılım olarak işlev görürken kendisini bir eğitim araştırma aracı olarak sunar.
Kötü amaçlı yazılım, çekirdek yükü için C ++ ‘ı Delphi tabanlı bir oluşturucu arayüzü ile birleştiren çift dilli bir mimari kullanır ve bu da onu değişen teknik uzmanlığa sahip tehdit aktörleri için erişilebilir hale getirir.
İnşaatçı, fonksiyonel yükler oluşturmak için sadece bir telgraf bot jetonu ve sohbet kimliği gerektirir ve siber suçlulara giriş engelini önemli ölçüde düşürür. Bir kez konuşlandırıldıktan sonra, stealer dikkate değer bir gizlilikle çalışır, çoklu mekanizmalar yoluyla kalıcılık oluşturur ve çalınan verileri verimli işleme için açıkça yapılandırılmış dizinler halinde düzenler.
Cyfirma araştırmacıları, rutin tehdit avcılık faaliyetleri sırasında kötü amaçlı yazılımları belirleyerek meşru sunum ve kötü niyetli işlevsellik kombinasyonunu not ettiler.
Stealer’ın GitHub deposu, yetkisiz veri toplama için gerekli tüm bileşenleri içererken, eğitim feragatnameleriyle birlikte bir adli araştırma aracının cephesini korur.
Bu aldatıcı yaklaşım, kötü amaçlı yazılımların kamuya açık olmasını sağladı ve potansiyel olarak daha geniş bir kötü amaçlı aktör kitlesine ulaştı.
Octalyn Stealer’ın finansal sonuçları, özellikle Bitcoin, Ethereum, Litecoin ve Monero dahil olmak üzere birçok platformda kripto para birimi cüzdanlarını hedeflediği için özellikle ilgilidir.
Kötü amaçlı yazılım, her bir kripto para türü için özel alt dizinler oluşturur, sistematik olarak cüzdan adresleri, özel anahtarlar, tohum cümleleri ve yapılandırma dosyaları.
Finansal verilerin ötesinde, Stealer, tarayıcıda saklanan bilgileri kapsamlı bir şekilde hedefler, şifreleri, çerezleri, otomatik doldurma verilerini ve krom, kenar ve opera tarayıcılarından tarama geçmişi.
Enfeksiyon mekanizması ve veri organizasyonu
Octalyn Stealer’ın enfeksiyon süreci, sofistike bir damlalık bileşeni olarak işlev gören Build.exe’nin yürütülmesi ile başlar.
Yürütme üzerine, kötü amaçlı yazılım Windows API işlevinden yararlanır GetTempPathA Sistemin geçici dizini tanımlamak için, daha sonra kod desenini kullanarak bir çalışma klasör yapısı oluşturmak getenv("TEMP") + "\\Octalyn". Bu birincil dizin, sonraki tüm kötü amaçlı faaliyetler için evreleme alanı görevi görür.
Damlalı, üç gömülü yürütülebilir dosyaları sistematik olarak çıkarır – telegrambuild.exe, rvn.exe ve constbly.exe. ShellExecuteA sessiz modda.
Ana yük, telgrambuild.exe, hemen “Cryptowallets”, “Uzantılar”, “VPN”, “Oyunlar” ve “Socials” gibi belirli klasörlerle organize bir dizin yapısı oluşturmaya başlar.
Veri organizasyonuna bu metodik yaklaşım, kötü amaçlı yazılımların ticari sınıf tasarımını yansıtarak çalınan bilgilerin verimli sıralanmasını ve işlenmesini sağlar.
.webp)
Stealer, özellikle yolu kullanarak Chrome’un çerez depolamasını hedefleyen sofistike tarayıcı veri çıkarma teknikleri kullanır. "\\Google\\Chrome\\User Data\\Default\\Network\\Cookies".
Kötü amaçlı yazılım, Chrome’un yerel şifreleme anahtarlarını kullanarak depolanan çerezleri şifresini çözerken, benzer prosedürler Microsoft Edge ve Opera tarayıcılarını hedefler.
.webp)
Veri toplamayı takiben, Stealer, hasat edilen tüm bilgileri PowerShell komutlarını kullanarak bir ZIP arşivine sıkıştırır, ardından dosyayı şifreli TLS bağlantıları aracılığıyla saldırgan kontrollü telgraf kanallarına iletir. api.telegram.org.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi