CRIL araştırmacıları geldi bir tweet boyunca İtalya’nın Alibaba2044 tarafından hedef alındığından söz eden
“Rutin bir tehdit avı tatbikatı sırasında, Cyble Research and Intelligence Labs (CRIL) bir cıvıldamak TG Soft’un PureLogs bilgi hırsızı hakkında. Bu araç, Tehdit Aktörü (TA) “Alibaba2044″ tarafından 14 Aralık 2022’de İtalya merkezli hedeflere kötü amaçlı bir spam kampanyası başlatmak için kullanılıyor” dedi.
PureLogs hırsızını kullanan hedef ve tehdit aktörünü gösteren tweet (Kaynak: Cyble)
Siber saldırı, parola korumalı bir zip dosyası olan bir indirme bağlantısı ve bağlantıyı açmak için parola içeren bir spam e-posta gönderilerek başlatılır. Bu kötü amaçlı zip dosyası, bir toplu iş dosyası gibi görünen bir dolap dosyasına sahiptir. Kötü amaçlı yazılım, toplu iş dosyasını açar açmaz cihaza bulaşmaya başlar.
PureLogs hırsız yetenekleri
Dosya indirildikten sonra, kullanıcı tıkladığında DOC9848_pdf.bat yarasa dosyası olarak kamufle edilmiş bir Windows kabin dosyası içeren başka bir zip dosyası çalışır. Sha256 a843517b019e86af42252b568e06dfe91a22f9034ceb996f5b0df32dcc1e4274 ile temp klasörüne bir .NET yürütülebilir x.exe bırakır. Kötü amaçlı bir yükü olan bu dosya çalıştırıldığında, sistem verileri şifrelenir.
Veri şifreleme (Kaynak: Cyble)
Bir PureLogs DLL dosyası olan şifresi çözülmüş yük daha sonra çalışma zamanında bellekte depolanır. Kötü amaçlı yük, Assembly.Load() yöntemi kullanılarak PureLogs’a enjekte edilir. PureLogs, bir yıllık abonelik için 99 $ karşılığında satışta.
Tarayıcı verilerini, kripto cüzdanlarındaki ayrıntıları, FTP istemcileri uygulamasını, e-postaları vb. çalabilir. Ayrıca parolalara, otomatik doldurma verilerine, çerezlere ve geçmişe erişim elde edebilir. Kripto cüzdanları arasında, diğerlerinin yanı sıra FileZilla, WinSCP, Outlook, Thunderbird, Telegram, OpenVPN ve ProtonVPN’den gelen verileri hacklemekle övünür.
Siber suç forumunda PureLogs Stealer desteği (Kaynak: Cyble)
PureCoder siber suç forumunda yazılım satıyor
PureCoder, geliştirdikleri kötü amaçlı yazılımlar için çeşitli teklifler yaptı ve başka türlü. Grup, PureLogs hırsızının yanı sıra PureCrypter’ı geliştirdi. Algılamadan kaçma yeteneklerine sahip .NET tabanlı PureCrypter, abonelikle ayda 59 ABD Doları karşılığında kullanılabilir. Diğer kötü amaçlı yazılımlar gibi tespit edilmekten kaçınmasını sağlayan şaşırtma yeteneklerine sahiptir.
Satışta, botlar, ETHW madenciliği, dosya indirme, yürütme ve güncelleme, RAM’de çalışma, dosyaları düşürmeme, başlangıçta çalıştırma vb. için kullanılabilen PureMiner adlı başka bir kötü amaçlı yazılım bulundu. Maliyeti 99 dolar. Satılan diğer kötü amaçlı yazılımlar arasında BlueLoader botnet ve yılda 99 ABD dolarına satılan PureHVNC yer alır.
Kötü amaçlı yazılımda Pure kelimesine sabitlenen PureHVNC’nin krom, kenar, cesur vb. karanlık ağ