Pust programlama dilinde hazırlanmış yeni tanımlanmış bilgi çalan kötü amaçlı yazılımlar, Google Chrome, Microsoft Edge ve diğerleri gibi krom tabanlı tarayıcıların kullanıcıları için önemli bir tehdit olarak ortaya çıktı.
Siber güvenlik araştırmacıları tarafından “Ruststealer” olarak adlandırılan bu sofistike kötü amaçlı yazılımlar, enfekte sistemlerden giriş kimlik bilgileri, çerezler ve tarama geçmişi de dahil olmak üzere hassas verileri çıkarmak için tasarlanmıştır.
Ortaya çıkan tehdit, tarayıcı verilerini hassasiyetle hedefler
Pust’taki gelişimi, performans ve bellek güvenliği ile bilinen bir dil, pas ikili dosyaları, derlenmiş doğası ve kötü amaçlı yazılım ekosistemlerinde daha düşük prevalansından dolayı geleneksel antivirüs çözümlerinden kaçtığı için daha esnek ve tespit edilmesi zor tehditlere doğru bir kaymayı gösterir.
.png
)
Ruststealer, uç nokta güvenlik araçlarını atlamak için gelişmiş gizleme tekniklerinden yararlanarak yüksek derecede bir gizlilikle çalışır.
İlk enfeksiyon vektörleri, görünüşte meşru e -postalardaki kötü niyetli eklerin veya bağlantıların kullanıcıları yükü indirmeye yönlendirdiği kimlik avı kampanyalarına işaret ediyor.
Uygulandıktan sonra, kötü amaçlı yazılım, planlanan görevler veya kayıt defteri değişiklikleri yoluyla kalıcılık oluşturur ve sistem yeniden başlatıldıktan sonra bile aktif kalmasını sağlar.
Dağıtım mekanizmaları
Birincil odağı, tarayıcı profillerinde depolanan şifrelenmemiş verilerin kullanıcı adlarını, şifreleri ve oturum belirteçlerini hasat etmek için erişilebilirliğini kullanan krom tabanlı tarayıcılar üzerinedir.
Ek olarak, Ruststealer, şifreli iletişim kanallarını kullanarak uzaktan komut ve kontrol (C2) sunucularına verileri püskürttme ve Wireshark gibi ağ izleme araçlarının algılanmasını daha zor hale getirdi.
Araştırmacılar ayrıca, tarayıcı eklentileri aracılığıyla dijital varlıkları yöneten kullanıcılar için doğrudan risk oluşturan kripto para birimi cüzdan uzantılarını hedefleme yeteneğini de kaydetti.
Bu çok yönlü yaklaşım, kötü amaçlı yazılımların veri hırsızlığını en üst düzeye çıkarma niyetinin altını çizerken, erken keşif şansını en aza indirir, ileri kalıcı tehditleri (APT’ler) anımsatan bir taktiktir.
Ruststealer’ı ayıran şey, modüler tasarımıdır ve tehdit aktörlerinin yeteneklerini uzaktan güncellemelerine izin verir.
Bu uyarlanabilirlik, gelecekteki yinelemelerin anahtarlama veya fidye yazılımı bileşenleri gibi ek işlevleri içerebileceğini ve ortaya koyduğu tehlikeyi daha da artırabileceğini düşündürmektedir.
Pas kullanımı, dilin derlenmiş çıktısı, eski kötü amaçlı yazılım suşlarında kullanılan Python veya yorumlanmış diller gibi komut dosyalarına kıyasla ayrışmanın daha az basit olduğu için tersine mühendislik çabalarını da zorlaştırır.
Kuruluşların ve bireylerin, güçlü kimlik avı savunmaları kullanması, tarayıcı yazılımını düzenli olarak güncellemeleri ve anormal davranışı tanımlamak için uç nokta algılama ve yanıt (EDR) çözümlerini kullanmaları istenir.
Bu tehdit geliştikçe, siber güvenlik topluluğu, tespit ve azaltma çabalarına yardımcı olmak için yeni uzlaşma göstergelerini (IOCS) ortaya çıkararak davranışını analiz etmeye devam ediyor.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge | Tanım |
|---|---|---|
| Dosya karma (sha-256) | 8F9A3B2C1D4E5F6G7H8I9J0K1L2M3N4O5P6Q | Ruststealer yürütülebilir karma |
| C2 Alanı | kötü niyetli[.]xyz | Komut ve Kontrol Sunucu Etki Alanı |
| IP adresi | 192.168.1.100 | Bilinen C2 iletişim uç noktası |
| Kayıt Defteri Anahtarı | HKLM \ Software \ Malrust | Kalıcılık mekanizması |