Yeni tanımlanmış bilgi çalan kötü amaçlı yazılım, Pupinstealer olarak adlandırılan ilk görüşleri Nisan 2025’te bildirildiğinde Windows kullanıcıları için önemli bir tehdit olarak ortaya çıktı.
C# .NET Framework’ü kullanarak yazılan bu kötü amaçlı yazılım, tarayıcı kimlik bilgileri, telgraf ve uyumsuzluk gibi platformlardan mesajlaşma uygulama oturumları, masaüstü belgeleri ve tam ekran ekran görüntüleri dahil olmak üzere parti hassas verilere tasarlanmıştır.
Pupinstealer’ı ayıran şey, geleneksel ağ filtreleme araçlarını atlamak için şifreli, güvenilir altyapıyı kullanan bir yöntem olan Telegram’ın BOT API’sının veri açığa çıkması için kurnaz kullanımıdır.
.png
)
Bu yaklaşım, güvenlik sistemlerinin kötü amaçlı yazılımların giden iletişimini tespit etmesini ve engellemesini özellikle zorlaştırıyor.
Yeni C# kötü amaçlı yazılım istismarları telgraf
İmzasız bir .NET yürütülebilir olarak dağıtılan Pupinstealer, kurbanları manuel olarak yürütmek için kandırmak için kimlik avı e -postaları, sahte indirmeler veya anlık mesajlaşma yemleri gibi sosyal mühendislik taktiklerine dayanır.
Bir kez başlatıldıktan sonra, bir dizi hedeflenen işlevi yerine getirir: yerel durum şifreleme anahtarını ve Windows DPAPI’yi kullanarak krom, kenar, opera ve vivaldi gibi krom tabanlı tarayıcılardan giriş bilgilerini çözme ve çıkarma.
.Pdf, .txt, .sql, .jpg ve .png gibi uzantılı masaüstü dosyalarını toplamak; potansiyel hesap devralması için tdata klasörünü çalarak telgraf oturumlarını kaçırma; Discord istemcilerinden (standart, PTB ve Canary) kimlik doğrulama jetonlarının LevelDB üzerinden çıkarılması; ve kurbanın masaüstünün 1920 × 1080 JPEG ekran görüntüsünü yakalamak.
Çalınan veriler, %AppData %\ Temp $$ kullanıcı adı altında farklı dizinler halinde titizlikle düzenlenmiştir] [Username]@ardent.zip ve HTTPS Post istekleri aracılığıyla saldırgan kontrollü bir telgraf botuna yüklendi.
Mağdurun IP adresi, kullanıcı adı ve SID gibi meta veriler, saldırganlara sömürü için ek bağlam sağlayarak iletime dahil edilir.
Özellikle, kötü amaçlı yazılım, bazı tespit sezgisel yöntemlerinden kaçınmak için temel bir şaşkınlık taktiği olan, yürütülebilir .Text bölümündeki bağımlılıkları gömmek ve entropi artırmak için costura.fody kütüphanesini kullanır.
Cybersec Sentinel Report’a göre, belirsiz kod dizeleri ve dosya adlandırma kurallarından çıkarılan bir geliştirici takma adına “ateşli” bir geliştirici atıfta bulunuyor.
İşletme ve bireysel kullanıcılar için bir tehdit
Kalıcılık mekanizmaları veya gelişmiş anti-analiz tekniklerinin olmamasına rağmen, Pupinstealer’ın odaklanmış işlevselliği ve gizli eksfiltrasyon yöntemi, 6,5/10’luk bir yüksek risk derecesi alan güçlü bir tehdit haline getirir.
Kimlik bilgilerini, oturum verilerini ve kişisel dosyaları çalma yeteneği, hesap devralma, sosyal mühendislik ve itibar veya finansal hasar riskleri oluşturmaktadır.
Azaltma çok katmanlı bir yaklaşım gerektirir: şüpheli dosyaları yürütmekten kaçınmak için kullanıcı eğitimi, yürütülebilir ekleri engellemek için e-posta filtreleme, davranışsal analizle güncellenmiş antivirüs ve EDR araçları, algılama için özel Yara kuralları, kritik hesaplarda 2FA uygulama ve olağanüstü zip dosya oluşturma veya api.telegram.org.
Pupinstealer, komuta ve kontrol ve veri hırsızlığı için güvenilir bulut hizmetlerini kötüye kullanma, sağlam uç nokta güvenliği ihtiyacının altını çizerek ve alan örneğinin daha önce yanlış yapısının düzeltilmesinde açıkça belirgin bir şekilde kötü yazılım eğilimini örneklendirir.[.]Bu kampanyayla ilgisi olmayan screenconnect.com.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer |
|---|---|
| MD5 | FC99A7EF8D7A2028CE73BFF42D3A95BCE |
| Sha-256 | 9309003C245F94A4E52098DADBAA0D0A4D83B423D76C1BFC082A1C29E0B95F |
| Url | HTTPS[:]// API[.]telgraf[.]Org/Bot[BotToken]/senddocument? chat_id = 7613862165 & caption |
| Telgraf bot jetonu | 801373571 |
| Dosya Yolları | %AppData%\ Temp $$ kullanıcı adı]\ Grabbers \ tarayıcı \ Passsways.txt, vb. |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!