.NET Framework’ü kullanarak C# ‘da geliştirilen yeni tanımlanmış bilgi çalan kötü amaçlı yazılımlar, bu hafif ancak etkili kötü amaçlı yazılım, tarayıcı kimlik bilgileri, masaüstü dosyaları, mesajlaşma uygulama oturumları ve ekran görüntüleri dahil olmak üzere hassas kullanıcı verilerini hedefler.
Siber güvenlik haberleriyle paylaşılan bir Cyfirma ayrıntılı analize göre, Pupinstealer, Telegram’ın gizli veri açığa çıkması için Bot API’sinden yararlanır ve kötü niyetli amaçlar için meşru platformlardan yararlanma eğiliminin altını çizer.
İlk olarak Nisan 2025’te gözlemlenen Pupinstealer, küratörlü bir veri setini hedefleyen ve onu daha ayrım gözetmeyen kötü amaçlı yazılımlardan ayıran basit bir Infostealer’dır.
.png
)
Komuta ve kontrol için telgrafa güvenmesi, anonimliği ve kullanım kolaylığı nedeniyle siber suçlular arasında bu platformun artan popülaritesi ile uyumludur. Cyfirma, kötü amaçlı yazılımları, gömülü kod dizelerine dayanarak “ateşli” olarak bilinen bir geliştiriciye bağlar.
Temel özellikler ve yetenekler
Pupinstealer, hızlı veri toplama için tasarlanmıştır ve minimal gizleme veya kalıcılık mekanizmaları ile çalışır ve uzun vadeli gizlilerde hızlı yürütmeye öncelik verir. Birincil yetenekleri şunları içerir:
Kötü amaçlı yazılım, Google Chrome, Microsoft Edge, Opera, Opera GX ve Vivaldi gibi krom tabanlı tarayıcılardan giriş bilgilerini kaydetti.
.jpg)
Tarayıcıların yerel durum dosyalarından şifre çözme anahtarlarını alır ve SQLite tabanlı oturum açma veri veritabanlarında depolanan şifreleri çözmek için Windows Veri Koruma API’sını kullanır.
Pupinstealer, kurbanın masaüstünü belirli uzantılara sahip dosyalar için (.pdf, .txt, .sql, .jpg, .png) tarar ve bunları eksfiltrasyon için geçici bir dizine kopyalar.
Kötü amaçlı yazılım, kimlik bilgileri olmadan hesap erişimini sağlayan oturum dosyaları içeren TData klasörünü kopyalayarak telgrafı hedefler. Ayrıca, saldırganların kurbanları taklit etmesine izin vererek normal ifadeler kullanarak LevelDB dizinlerinden anlaşmazlık kimlik doğrulama belirteçlerini çıkarır.
Pupinstealer, kurbanın masaüstünün 1920 × 1080 ekran görüntüsünü yakalar ve bu da exfiltrasyon için bir .jpg dosyası olarak kaydeder.
Çalınan tüm veriler, gömülü meta verilere (kullanıcı adı, genel IP ve Windows güvenlik tanımlayıcısı) sahip bir zip arşivine sıkıştırılır ve hazırlanmış bir API URL’si aracılığıyla saldırgan kontrollü bir telgraf botuna gönderilir.
Teknik analiz
Pupinstealer, 6.21 MB dosya boyutuna sahip 32 bit GUI tabanlı bir Windows yürütülebilir. SHA-256 karması ve Anycpu mimarisi ile .NET ile yazılmıştır, hem X86 hem de X64 ortamları ile uyumludur.
Kötü amaçlı yazılım, geleneksel paketlemeden yoksun olmasına rağmen, .Text bölümünde yüksek entropi değerine (7.998) katkıda bulunan sıkıştırılmış DLL’leri gömmek için Costura kütüphanesini kullanır.
Yürütme üzerine .NET çalışma zamanı Ortak Dil Çalışma Zamanını (CLR) başlatır ve veri hasat için eşzamansız görevleri düzenleyen kötü amaçlı yazılımın ana () yöntemini çağırır. Anahtar bileşenler şunları içerir:
- Chromiumpasswords sınıfı: Geçici bir dizinde (%Temp%\[username]\ Şifreler) ve AES-GCM kullanarak şifrelerin çözülmesi.
- FunctionSforstealer ve FunctionSfordecrypt sınıfları: Yerel durum dosyalarından tarayıcı tuşlarını alıp şifresini çözerek şifreli şifrelere erişimi sağlayın.
- Grabberdesktop yöntemi: Masaüstü dosyalarını bir masaüstü dizinine kopyalar, önceden tanımlanmış uzantılarla filtreleme ve algılamayı önlemek için hataları sessizce işleme.
- Telgraf ve anlaşmazlık modülleri: Telegram’ın TDATA klasörü tekrarlanan ve düzenli ifadeler yoluyla çıkarılan uyumsuz jetonlar ile oturum verilerini ve kimlik doğrulama belirteçlerini bulun.
- Ekran görüntüsü ve sıkıştırma rutinleri: Masaüstü ekran görüntülerini yakalayın ve çalınan tüm verileri CP866 kodlama ve maksimum sıkıştırma (seviye 9) kullanarak bir ZIP arşivine sıkıştırın.
Telgraf yoluyla pessfiltration
Pupinstealer, muhtemelen Rus “Kanal” (kanal) kelimesinden türetilen Botkanal (kullanıcı adı: botkanalchik_bot) adlı bir telgraf botuna verileri püskürtür.
BOT, kullanıcı adları, IP adresleri, SID’ler ve modül başarı bayrakları dahil olmak üzere ayrıntılı kurban bilgileri içeren altyazılarla Telegram Bot API üzerinden ZIP arşivleri alır.
“Kötü amaçlı yazılım ilişkilendirme dizesi,“ Ardent tarafından kodlanmış ”, bu takma ad altında çalışan bir geliştiriciyi öneriyor ve ilgili telgraf meta verilerindeki Rusça metinlere dayanan olası bir Rus kökenine işaret ediyor.” Cyfirma siber güvenlik haberlerine dedi.
Kötü amaçlı yazılımın sadeliği ve gelişmiş anti-analiz savunmasının eksikliği, onu daha az sofistike tehdit aktörleri için erişilebilir bir araç haline getirir. Hizmet olarak kötü amaçlı yazılım modelleri aracılığıyla mevcut olan daha geniş bir modüler, düşük karmaşıklık infostaler eğilimine uyarak, kimlik hırsızlığı, oturum kaçırma ve karanlık web pazarlarında veri yeniden satış yoluyla hızlı para kazanmayı mümkün kılar.
Azaltma önerileri
Pupinstealer’ın basit tasarımı, bu tür tehditlere karşı koymak için sağlam siber güvenlik uygulamalarına duyulan ihtiyacın altını çiziyor. Kuruluşlar ve bireyler risklerini aşağıdakilerle azaltabilir:
- Kullanıcı Farkındalığı: Güvenilmeyen kaynaklardan gelen dosyalara dikkat edin ve şüpheli bağlantıları tıklamaktan kaçının, özellikle de şüpheli yazılımı teşvik edenler.
- Antivirüs ve güncellemeler: Saygın antivirüs çözümlerini dağıtın ve tarayıcılar ve mesajlaşma uygulamaları dahil tüm yazılımların düzenli olarak yama güvenlik açıklarına göre güncellenmesini sağlayın.
- Ağ İzleme: Telegram API’lerine veya diğer atipik hizmetlere alışılmadık giden trafiği izleyin, bu da veri açığa çıkmasını gösterebilir.
- Kimlik Bilgisi Yönetimi: Tarayıcılarda kimlik bilgilerini saklamaktan kaçınmak için şifre yöneticilerini kullanın ve telgraf ve uyumsuzluk gibi mesajlaşma platformlarında çok faktörlü kimlik doğrulama (MFA) etkinleştirin.
- Güvenlik kültürü: Sosyal mühendislik ve kötü amaçlı yazılım riskleri konusunda düzenli çalışan eğitimi yoluyla güvenlik bilincine sahip bir ortamı geliştirin.
Are you from the SOC and DFIR Teams? – Analyse Real time Malware Incidents with ANY.RUN -> Start Now for Free.