“Pupinstealer” olarak adlandırılan yeni bir bilgi çalan kötü amaçlı yazılım, bireyler ve işletmeler için önemli bir tehdit olarak ortaya çıktı.
.NET Framework kullanılarak C# ‘da geliştirilen bu 32 bit GUI tabanlı Windows Yürütülebilir, hassas kullanıcı verilerini odaklanmış ve verimli bir yaklaşımla hedefler.
İlk olarak Nisan 2025’te gözlemlenen Pupinstealer, tarayıcı kimlik bilgileri, masaüstlerinden kişisel dosyalar, telgraf ve uyumsuzluk gibi mesajlaşma platformlarından gelen oturum bilgileri ve masaüstü ekran görüntüleri de dahil olmak üzere belirli bir veri aralığını hasat etmek için tasarlanmıştır.
.png
)
Bu kötü amaçlı yazılımları özellikle sinsi yapan şey, çalınan verileri saldırgan kontrollü sunuculara minimum izlenebilirlik ile iletmek için telgraf bot API’sından yararlanarak, pesfiltrasyon yöntemidir.
Siber manzarada yeni bir tehdit
6.21 MB dosya boyutuna sahip ve MD5 karma FC99A7EF8D7A2028CE73BF42D3A95BCE tarafından tanımlanan Pupinstealer, yürütme üzerine birden fazla asenkron görev başlatarak çalışır.
.NET Ortak Dil Çalışma Zamanı (CLR) tarafından yönetilen ana () yöntemi, farklı modüller aracılığıyla veri hırsızlığını düzenler.
Birincil işlev, yerel durum dosyalarından şifre çözme anahtarlarını çıkararak ve AES-GCM algoritmaları kullanılarak SQLite veritabanlarında depolanan kaydedilmiş kimlik bilgilerini çözerek krom, kenar ve opera gibi krom tabanlı tarayıcıları hedefler.
%20function.webp)
Ayrıca, .pdf, .txt ve .jpg gibi uzantılı dosyalar için kurbanın masaüstünü tarar ve bunları geçici bir dizine kopyalar.
Kötü amaçlı yazılım ayrıca, ‘TData’ klasörünü kopyalayarak telgraf oturum verilerini, kimlik bilgileri olmadan yetkisiz hesap erişimini sağlarken, uyumsuzluk jetonları potansiyel taklit için normal ifadeler kullanılarak LevelDB depolama alanından toplanır.
Kötü amaçlı işlemlerin teknik dökümü
1920 × 1080 çözünürlükte birincil ekranın bir ekran görüntüsü yakalanır ve toplanan tüm verilerle birlikte, kullanıcı adı, IP adresi ve güvenlik tanımlayıcısı (SID) gibi gömülü meta verilere sahip bir zip arşivine sıkıştırılır.
Cyfirma raporuna göre, bu arşiv, genellikle formatta adlandırıldı [Username]@ardent.zip, daha sonra altyazıya ayrıntılı sistem bilgilerini içeren hazırlanmış bir API URL’si kullanılarak ‘botkanalchik_bot’ olarak tanımlanan bir telgraf botuna gönderilir.
Gömülü kod dizeleri ile kanıtlandığı gibi bir geliştirici takma adına atfedilen Pupinstealer, tespitten kaçınmak için düşük profilli yürütmeye dayanarak gelişmiş gizleme veya kalıcılık mekanizmalarından yoksundur.
Komuta ve kontrol için Telegram gibi meşru hizmetlerin kullanılması, siber suçlular arasında anonimlik ve kullanım kolaylığını destekleyen artan bir eğilimi vurgulamaktadır.
Daha geniş bir modüler infostaler manzarasının bir parçası olarak, Pupinstealer, hizmet olarak kötü amaçlı yazılım tekliflerinin gelişen sadeliğinin ve erişilebilirliğinin altını çizerek siber güvenlik savunmalarına meydan okuyor.
Kuruluşlar, bu tür tehditlerle ilişkili riskleri azaltmak için sağlam uç nokta güvenliği, sürekli ağ izleme ve kullanıcı farkındalığı eğitimi uygulamaları istenir.
Uzlaşma Göstergeleri (IOCS)
| S/N | Göstergeler | Tip | Bağlam |
|---|---|---|---|
| 1 | FC99A7EF8D7A2028CE73BFF42D3A95BCE | MD5 | Pupinstealer.exe |
| 2 | 9309003C245F94A4E52098DADBAA0D0A4D83B423D76C1BFC082A1C29E0B95F | Sha-256 | Pupinstealer.exe |
| 3 | HTTPS[:]// API[.]telgraf[.]Org/Bot[BotToken]/senddocument? chat_id = 7613862165 & caption | Url | Telegram bot/url eksfiltrasyonu |
| 4 | 801373571 | Telgraf bot jetonu | Pessfiltrasyon için telgraf bot jetonu |
| 5 | %AppData%\ Temp $$ kullanıcı adı]\ Grabbers \ Browser \ Passsways.txt | Dosya Yolu | Toplanan tarayıcı kimlik bilgileri |
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir