Oturum açma kimlik bilgilerini çalmak ve kripto cüzdanlarını uzatmak için eğitim aracı olarak noovatlight maskelies

Yeni analiz edilen bir Hizmet Olarak Kötü Yazılım (MAAS) Infostealer, Novableght, önemli bir siber güvenlik tehdidi olarak ortaya çıktı ve şüpheli olmayan kullanıcıları ileri veri hırsızlığı yeteneklerine sahip.

Fransız dil yeterliliğini gösteren bir tehdit oyuncusu olan Sororeus Grubu tarafından geliştirilen ve satılan Novableght, Telegram ve Discord gibi platformlarda bir “eğitim aracı” olarak pazarlanmaktadır.

Bununla birlikte, elastik güvenlik laboratuvarları tarafından derinlemesine analiz gerçek niyetini ortaya koymaktadır: giriş kimlik bilgileri ve kripto para birimi cüzdan verileri de dahil olmak üzere hassas bilgileri çalmak için tasarlanmış elektron çerçevesi üzerine inşa edilmiş modüler, özellik açısından zengin Nodejs tabanlı bir kötü amaçlı yazılım.

Grubun iletişimi ve operasyonel taktikleri, genellikle birincil satış kanallarında yeniden düzenlenmemiş, kötü niyetli hedeflerini ortaya çıkararak eğitim iddialarıyla çelişiyor.

Gelişmiş Kırılma Taktikleri

Novatight, aldatıcı kampanyalar aracılığıyla dağıtılır ve genellikle ilk erişim cazibesi olarak sahte video oyunu yükleyicilerini kullanır.

Böyle bir örnek, kullanıcıları yeni bir buhar sürümünü taklit eden bir Fransız dil oyun yükleyicisini indirmelerini isteyen kötü amaçlı bir URL içerir.

Uygulandıktan sonra, kötü amaçlı yazılım, uçuş öncesi kontrollerden ve anti-analiz önlemlerinden veri hasat ve eksfiltrasyona kadar çok aşamalı bir boru hattı dağıtır.

Yetenekleri arasında kum havuzu algılama, sistem sabotajı ve dizi eşleme, Base91 dize kodlaması ve kontrol akışı gizlemesi gibi ağır gizleme teknikleri, algılama ve analizi zorlaştırır.

Novableght ayrıca, Discord, Exodus ve atom cüzdanları gibi popüler elektron tabanlı uygulamaları da hedefler ve yapılandırılabilir Discord Webhooks ve Telegram API’leri aracılığıyla kimlik bilgilerini eklemek için kötü amaçlı kod enjekte eder.

Ayrıca, kripto para birimi adreslerini yerine koymak, potansiyel olarak fonları saldırganlara yönlendirmek için pano kaçırma kullanır ve krom tabanlı tarayıcılardan veri şifresini çözmek için araçlar indirir.

Kalıcı evrim

Sordese Grubu, kullanıcıların telgraf botları veya anlaşmazlık kanalları aracılığıyla kötü amaçlı yazılım örnekleri oluşturmak için kullanabileceği 1 ila 12 ay arasında değişen geçerliliğe sahip API anahtarları sunan bir abonelik modeli aracılığıyla Novelight’dan para kazanır.

Grup bir yönlendirme programını teşvik eder ve API.Nova-Blight gibi alanlarda barındırılan bir gösterge tablosuna erişim sağlar[.]Top ve Shadow.nova-Blight[.]çalınan verileri yönetmek için üst.

Sözde eğitim amacına rağmen, Telegram üzerindeki topluluk etkileşimleri, lüks alımların ve para transferlerinin ekran görüntülerini paylaşan kullanıcıları ortaya koyarak kötü amaçlı yazılımın gerçek dünya etkisini vurguluyor.

Novatight’ın altyapısı, birincil kanallar bozulsa bile operasyonel sürekliliği sağlayarak, üçüncü taraf dosya barındırma hizmetlerinin ve veri açığa çıkması için özel arka uç sunucularının bir karışımını kullanarak oldukça esnektir.

Elastik Güvenlik Laboratuarları, kötü amaçlı yazılımların aktif geliştirme altında olduğunu ve ilgili bir tehdit olarak kalıcılığını sağlayan devam eden güncellemeler olduğunu belirtiyor.

Yürütme, kalıcılık, savunma kaçırma, kimlik bilgisi erişim ve pespiltrasyonun kapslanmasını kapsayan MITER ATT & CK taktikleri ile hizalanması, bu aktiviteyi tanımlamak için elastik tarafından geliştirilen YARA kuralları gibi sağlam algılama mekanizmalarına ihtiyaç duyulmasını vurgulamaktadır.

Uzlaşma Göstergeleri (IOC)

Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!