“PupinStealer” –


“Pupinstealer” olarak adlandırılan yeni bir bilgi çalan kötü amaçlı yazılım, bireyler ve işletmeler için önemli bir tehdit olarak ortaya çıktı.

.NET Framework kullanılarak C# ‘da geliştirilen bu 32 bit GUI tabanlı Windows Yürütülebilir, hassas kullanıcı verilerini odaklanmış ve verimli bir yaklaşımla hedefler.

İlk olarak Nisan 2025’te gözlemlenen Pupinstealer, tarayıcı kimlik bilgileri, masaüstlerinden kişisel dosyalar, telgraf ve uyumsuzluk gibi mesajlaşma platformlarından gelen oturum bilgileri ve masaüstü ekran görüntüleri de dahil olmak üzere belirli bir veri aralığını hasat etmek için tasarlanmıştır.

– Reklamcılık –
Google Haberleri

Bu kötü amaçlı yazılımları özellikle sinsi yapan şey, çalınan verileri saldırgan kontrollü sunuculara minimum izlenebilirlik ile iletmek için telgraf bot API’sından yararlanarak, pesfiltrasyon yöntemidir.

Pupinstealer
BOT DETAYLARI: Pesfiltrasyonda kullanılır

Siber manzarada yeni bir tehdit

6.21 MB dosya boyutuna sahip ve MD5 karma FC99A7EF8D7A2028CE73BF42D3A95BCE tarafından tanımlanan Pupinstealer, yürütme üzerine birden fazla asenkron görev başlatarak çalışır.

.NET Ortak Dil Çalışma Zamanı (CLR) tarafından yönetilen ana () yöntemi, farklı modüller aracılığıyla veri hırsızlığını düzenler.

Birincil işlev, yerel durum dosyalarından şifre çözme anahtarlarını çıkararak ve AES-GCM algoritmaları kullanılarak SQLite veritabanlarında depolanan kaydedilmiş kimlik bilgilerini çözerek krom, kenar ve opera gibi krom tabanlı tarayıcıları hedefler.

Pupinstealer
Main () işlevi

Ayrıca, .pdf, .txt ve .jpg gibi uzantılı dosyalar için kurbanın masaüstünü tarar ve bunları geçici bir dizine kopyalar.

Kötü amaçlı yazılım ayrıca, ‘TData’ klasörünü kopyalayarak telgraf oturum verilerini, kimlik bilgileri olmadan yetkisiz hesap erişimini sağlarken, uyumsuzluk jetonları potansiyel taklit için normal ifadeler kullanılarak LevelDB depolama alanından toplanır.

Kötü amaçlı işlemlerin teknik dökümü

1920 × 1080 çözünürlükte birincil ekranın bir ekran görüntüsü yakalanır ve toplanan tüm verilerle birlikte, kullanıcı adı, IP adresi ve güvenlik tanımlayıcısı (SID) gibi gömülü meta verilere sahip bir zip arşivine sıkıştırılır.

Cyfirma raporuna göre, bu arşiv, genellikle formatta adlandırıldı [Username]@ardent.zip, daha sonra altyazıya ayrıntılı sistem bilgilerini içeren hazırlanmış bir API URL’si kullanılarak ‘botkanalchik_bot’ olarak tanımlanan bir telgraf botuna gönderilir.

Gömülü kod dizeleri ile kanıtlandığı gibi bir geliştirici takma adına atfedilen Pupinstealer, tespitten kaçınmak için düşük profilli yürütmeye dayanarak gelişmiş gizleme veya kalıcılık mekanizmalarından yoksundur.

Komuta ve kontrol için Telegram gibi meşru hizmetlerin kullanılması, siber suçlular arasında anonimlik ve kullanım kolaylığını destekleyen artan bir eğilimi vurgulamaktadır.

Daha geniş bir modüler infostaler manzarasının bir parçası olarak, Pupinstealer, hizmet olarak kötü amaçlı yazılım tekliflerinin gelişen sadeliğinin ve erişilebilirliğinin altını çizerek siber güvenlik savunmalarına meydan okuyor.

Kuruluşlar, bu tür tehditlerle ilişkili riskleri azaltmak için sağlam uç nokta güvenliği, sürekli ağ izleme ve kullanıcı farkındalığı eğitimi uygulamaları istenir.

Uzlaşma Göstergeleri (IOCS)

S/N Göstergeler Tip Bağlam
1 FC99A7EF8D7A2028CE73BFF42D3A95BCE MD5 Pupinstealer.exe
2 9309003C245F94A4E52098DADBAA0D0A4D83B423D76C1BFC082A1C29E0B95F Sha-256 Pupinstealer.exe
3 HTTPS[:]// API[.]telgraf[.]Org/Bot[BotToken]/senddocument? chat_id = 7613862165 & caption Url Telegram bot/url eksfiltrasyonu
4 801373571 Telgraf bot jetonu Pessfiltrasyon için telgraf bot jetonu
5 %AppData%\ Temp $$ kullanıcı adı]\ Grabbers \ Browser \ Passsways.txt Dosya Yolu Toplanan tarayıcı kimlik bilgileri

SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir



Source link