Pupinstealer, Telegram aracılığıyla verileri dışarı atmak için web tarayıcı parolalarını ve uygulama jetonlarını kullanıyor

Yeni tanımlanmış bir .NET tabanlı bilgi çalma kötü amaçlı yazılım (bazı raporlarda Pumpkinstealer olarak da bilinir) olarak adlandırılan, web tarayıcı parolaları ve uygulama oturumu tokenleri gibi hassas verileri hedefleyen önemli bir siber tehdit olarak ortaya çıkmıştır.

İlk olarak Vahşi doğada Nisan 2025 civarında gözlemlenen bu kötü amaçlı yazılımın, Rusça konuşan siber suç topluluklarında kökleri olduğuna inanılıyor, bir Rus adı taşıyan bir telgraf botu ve bir geliştirici takma adını “Ateşli” olarak ifade eden gömülü dizeler gibi göstergelerle.

Stormkitty gibi açık kaynaklı çalılardan ilham alan Pupinstealer, hızlı, yüksek etkili veri hırsızlığı için tasarlanmıştır, öncelikle Telegram’ın bot API’si aracılığıyla çalınan bilgileri söndürür.

– Reklamcılık –

Özelleştirme ve kullanılabilirliği kolaylığı, bireysel kullanıcılardan kurumsal çalışanlara kadar geniş bir kurbandan kimlik bilgilerini toplayarak finansal kazanç arayan düşük vasıflı siber suçlular arasında tercih edilen bir araç haline getirir.

Ortaya çıkan tehdit hassas kullanıcı verilerini hedefler

Pupinstealer, genellikle truva indirmeleri veya çatlak yazılımlarda meşru dosyalar olarak gizlenmiş, kimlik avı ve sosyal mühendislik yoluyla başlangıç ​​erişiminden başlayarak, MITER ATT & CK çerçevesine eşlenmiş bir dizi taktik kullanır.

Yürütüldükten sonra, .NET Yürütülebilir (tipik olarak pupinstealer.exe veya plutoniumloader.exe olarak adlandırılır), verileri hızlı bir şekilde çalmak için eşzamansız görevlerden yararlanır, kaydetilmiş kimlik bilgileri için krom tabanlı tarayıcıları hedefler, telgraf ve ekran görüntüsünü ele geçirir.

Özellikle, kayıt defteri modifikasyonlarından veya planlanan görevlerden kaçınarak ayak izini en aza indiren bir “şut-grab” yaklaşımı seçen kalıcılık mekanizmalarından yoksundur.

Tespitten kaçınmak için, kilitli dosyalara erişmek için tarayıcılar ve telgraf gibi süreçleri sonlandırır ve bağımlılıkları gömmek, ikili entropi şişirmek ve potansiyel olarak basit antivirüs kontrollerini atlamak için costura.fody kullanır.

Gizli pessfiltrasyon için sofistike taktikler

Exfiltration yöntemi, özellikle gizlidir, Telegram’ın API’sını HTTPS üzerinden kullanır ve çalınan veriler içeren sıkıştırılmış bir fermuar arşivi, 443 bağlantı noktasında meşru trafiğe karışarak saldırgan kontrollü bir sohbete karışır.

Picussecuirty raporuna göre, komut ve kontrol ve veri dağıtım için güvenilir bir platformun bu kötüye kullanılması, kötü amaçlı yazılım yazarları arasında anonimlik ve operasyonel sadelik için popüler hizmetlerden yararlanma eğilimini vurgulamaktadır.

Pupinstealer’ın etkisi, Windows DPAPI kullanılarak şifrelenmiş düz metin şifreleri, çok faktörlü kimlik doğrulamasını atlayan oturum dosyaları ve sönümlü arşivlere yerleştirilmiş kullanıcı adları ve IP adresleri gibi bağlamsal meta veriler de dahil olmak üzere saniyeler içinde hassas bir bilgi çıkarma yeteneğinin altını çizmektedir.

Savunucular, yürütmeyi önlemek için kullanıcı farkındalık eğitimi, anormal süreç sonlandırmalarını tespit etmek için davranışsal izleme ve API.telegram.org’a giden bağlantılar için ağ trafik analizi de dahil olmak üzere çok katmanlı stratejiler uygulamaya istenir.

Belirli dosya karmalar gibi uzlaşma göstergeleri (IOC’ler), Grabbers \ Browser \ Passsors.txt gibi geçici dizin yapıları ve sabit kodlanmış telgraf bot tokenleri enfeksiyonları tanımlamak için kritik imzalar sağlar.

Ana bilgisayar izolasyonu ve kimlik bilgileri sıfırlamaları dahil olmak üzere hızlı olay yanıtı, tespit sonrası hasarı azaltmak için gereklidir.

Uzlaşma Göstergeleri (IOCS)

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!