Siber güvenlik araştırmacıları tarafından “Pupinstealer” olarak adlandırılan yeni bir bilgi çalan kötü amaçlı yazılım, hassas kullanıcı verilerini basit ama etkili bir yaklaşımla hedefleyen tanımlanmıştır.
İlk olarak Nisan 2025’te gözlemlenen C# ‘da yazılmış bu .NET tabanlı kötü amaçlı yazılım, tarayıcı kimlik bilgilerini çalmaya, mesajlaşma uygulama oturumlarını ve masaüstü dosyalarını Telgraf’ın Bot API’si aracılığıyla ekstrüksiyona odaklanmaktadır.
Güvenlik uzmanları, Pupinstealer’ın sadeliğinin ve komuta ve kontrol operasyonları için meşru platformların kullanımının, özellikle güvenlik çözümlerini tetikleyecek sofistike anti-analiz özelliklerinden yoksun olduğu için dikkate değer bir tehdit haline getirdiğini belirtiyor.
.png
)
Pupinstealer, .NET Framework ve C#kullanılarak geliştirilen sadece 6.21 MB dosya boyutuna sahip hafif 32 bit yürütülebilir bir şekilde çalışır. Nispeten küçük ayak izine rağmen, kötü amaçlı yazılım önemli veri hasat yetenekleri gösterir.
Pupinstealer Windows Sistemine Saldırıyor
Güvenlik araştırmacıları, Pupinstealer’ın web tarayıcılarından kaydedilmiş şifreler ve çerezler, telgraf ve uyumsuzluk gibi mesajlaşma platformlarından oturum verileri ve belirli uzantıları olan masaüstü dosyaları da dahil olmak üzere belirli bir hassas bilgileri hedeflediğini belirledi.
Yürütme üzerine, kötü amaçlı yazılım, kullanıcı adı, genel IP adresi ve Windows güvenlik tanımlayıcısı dahil mağdur meta verilerle zenginleştirilmiş tüm çalınan verileri içeren sıkıştırılmış bir zip arşivi oluşturur.
Kötü amaçlı yazılım tasarımı, sıkıştırılmış DLL’leri gömmek için Costura kütüphanesini kullanarak hem X86 hem de X64 ortamlarında uyumluluğa öncelik verir.
Kapsamlı kaçırma teknikleri kullanan daha sofistike kötü amaçlı yazılım suşlarının aksine, Pupinstealer basit yürütme yöntemlerine ve kalıcılık mekanizmalarının olmamasına dayanır ve kısa operasyonel penceresi sırasında tespiti en aza indirmek için tasarlanmış bir “vur ve kaç” yaklaşım önerir.
Kötü amaçlı yazılım, mağdurun masaüstünün 1920 × 1080 JPG ekran görüntüsünü yakalar ve saldırganlara tehlikeye atılan sistem hakkında ek bağlamsal bilgiler sağlar.
Pupinstealer’ın tasarımı, potansiyel olarak hizmet olarak kötü amaçlı yazılım (MAAS) modelleri aracılığıyla dağıtılan daha az sofistike tehdit aktörleri için oluşturulduğunu göstermektedir.
Pupinstealer’ın Komut ve Kontrol ve Veri Defiltrasyonu için Telegram’ın BOT API’sını kullanması, kötü niyetli trafiği normal iletişimlerle harmanlamak için meşru platformlardan yararlanan siber suçlular arasında büyüyen bir eğilimi temsil ediyor.
Güvenlik araştırmacılarına göre, telgrafı C2 kanalı olarak kullanan kötü amaçlı yazılımlar, genellikle iletişim için Telegram Bot API’sını kullanır ve saldırganların faaliyetlerini meşru trafik modelleri içinde gizlerken kontrolü sürdürmesine izin verir.
Araştırmacılar, Telegram’ın BOT API’sinde Pupinstealer’ın sömürüldüğü önemli bir kusur belirlediler: Geçmişteki tüm bot mesajları, HTTPS trafiğini ele geçirebilen ve şifresini çözebilen bir düşman tarafından tekrarlanabilir.
Platformun MTProto şifrelemesini kullanan normal telgraf mesajlarının aksine, BOT API iletişimi yalnızca HTTPS katmanı tarafından korunarak bir güvenlik açığı oluşturur.
Kötü amaçlı yazılım, veri işleme verimliliğini artırmak için kurban bilgilerini ve modül başarı bayraklarını detaylandıran altyazılarla, sıkıştırılmış arşivi hazırlanmış bir API URL’si aracılığıyla bir telgraf botuna göndererek çalınan verileri ortaya çıkarır.
Bu yaklaşım, saldırganların trafikte popüler bir mesajlaşma platformuna saklanarak geleneksel ağ izleme çözümlerinden kaçınmasını sağlar.
Olası Rus bağlantılarına sahip “ateşli” geliştirici
Siber güvenlik araştırmacıları, analiz sırasında bulunan gömülü kod dizelerine dayanan “ateşli” olarak bilinen bir geliştiriciye Pupinstealer’ı atfetir.
“Kanal” (“kanal” için Rusça) terimi de dahil olmak üzere telgraf botunun meta verilerinde Rusça metninin varlığı, kesin coğrafi hedefleme doğrulanmamış olmasına rağmen olası Rus kökenlerini önermektedir.
Bu ilişkilendirme bilgileri, doğu Avrupa siber suçlu gruplarından kaynaklanan fidye yazılımı ve bilgi çalma kampanyaları hakkındaki endişelerin ortasında geliyor.
Pupinstealer’ın ortaya çıkışı, kötü amaçlı yazılım yazarlarının sofistike teknik özelliklerden ziyade giderek daha basit bir şekilde sadeliğe ve meşru platform istismarına odaklandığı gelişen bir tehdit manzarasını vurgulamaktadır.
Tarayıcı kimlik bilgileri ve finansal platform oturumları da dahil olmak üzere e-ticaretle ilgili verilere odaklanması, çevrimiçi perakendeciler ve müşterileri için önemli riskler oluşturmaktadır.
Güvenlik uzmanları, kuruluşların çok faktörlü kimlik doğrulama uygulamasını, mesajlaşma platformlarına düzenli olarak üçüncü taraf uygulama erişimini denetlemelerini ve bu ortaya çıkan tehdide karşı savunmak için sağlam uç nokta korumasını sürdürmelerini önermektedir.
Pupinstealer’ın gösterdiği gibi, modern kötü amaçlı yazılım artık hassas bilgileri etkili bir şekilde çalmak için karmaşık kod gerektirmez – bazen en basit yaklaşımların tespit edilmesi en zor olduğunu kanıtlar.
| Öğe | Detaylar |
|---|---|
| Kötü amaçlı yazılım örneği | Pupinstealer |
| Örnek | 9309003C245F94A4E52098DADBAA0D0A4D83B423D76C1BFC082A1C29E0B95F |
| Arama komutu | $ polyswarm link list -f PupkinStealer |
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri