Siber güvenlik araştırmacıları, hileli oyun web siteleri aracılığıyla yayılan Myth Stealer adlı daha önce belgelenmemiş bir pas tabanlı bilgi stealer’a ışık tuttular.
Trellix güvenlik araştırmacıları Niranjan Hegde, Vasantha Lakshmanan Ambasankar ve Adarsh S bir analizde, “Yürütme üzerine, kötü amaçlı yazılım meşru görünmek için sahte bir pencere sergiliyor.” Dedi.
Başlangıçta telgrafta Aralık 2024’ün sonlarında beta altında ücretsiz olarak pazarlanan stealer, o zamandan beri bir Hizmet Olarak Kötü Yazılım (MAAS) modeline geçti. Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi ve Mozilla Firefox gibi hem krom ve Gecko tabanlı tarayıcılardan şifreler, çerezler ve otomatik olarak bilgileri çalmak için donanımlıdır.
Kötü amaçlı yazılım operatörleri, tehlikeye atılan hesapların satışının reklamını yapmak ve hizmetlerinin referanslarını sağlamak için bir dizi telgraf kanalının korunduğu bulunmuştur. Bu kanallar Telegram tarafından kapatıldı.
Kanıtlar, efsane stealer’ın Google’ın blog yazarıda barındırılan ve bunları test etme bahanesi altında çeşitli video oyunları sunan sahte web siteleri aracılığıyla dağıtıldığını göstermektedir. Nisan 2025’te Flashpoint tarafından açıklandığı gibi AgeOstealer olarak bilinen başka bir çalma kötü amaçlı yazılımı sunmak için yakın bir blog yazarı sayfasının kullanıldığını belirtmek gerekir.
Trellix, kötü amaçlı yazılımın, çevrimiçi bir forumda DDRACE adlı bir oyun hile yazılımının çatlak bir versiyonu olarak dağıtıldığını ve sayısız dağıtım araçlarını vurguladığını söyledi.
İlk erişim vektörüne bakılmaksızın, indirilen yükleyici, kullanıcıya meşru bir uygulamanın yürütüldüğünü düşünmek için aldatmak için sahte bir kurulum penceresi görüntüler. Arka planda, yükleyici stealer bileşenini şifresini çözer ve başlatır.
64 bit DLL dosyasında, Stealer, verileri çalmadan ve uzak bir sunucuya veya bazı durumlarda bir Discord Webhook’a eksfiltrat etmeden önce çeşitli web tarayıcılarıyla ilişkili çalışma işlemlerini sonlandırmaya çalışır.
Araştırmacılar, “Ayrıca, dosya adları ve kullanıcı adları kullanan dize gizleme ve sistem kontrolleri gibi anti-analiz tekniklerini de içeriyor.” Dedi. “Kötü amaçlı yazılım yazarları, AV algılamasından kaçınmak ve ekran yakalama özelliği ve pano kaçırma gibi ek işlevler sunmak için Stealer kodunu düzenli olarak günceller.”
Myth Stealer, kötü amaçlı yazılım dağıtmak için Game Cheat Lures kullanma konusunda hiçbir şekilde tek başına değildir. Geçen hafta, Palo Alto Networks Birimi 42, Blitz olarak adlandırılan başka bir Windows kötü amaçlı yazılımlara ışık tuttu, bu da geri alınmış oyun hileleri ve meşru programlar için çatlak montajcılardan yayıldı.
Öncelikle saldırgan kontrollü bir telgraf kanalı ile yayılan Blitz, iki aşamadan oluşur: bot yükünden sorumlu olan ve tuş vuruşlarını kaydetmek, ekran görüntüleri almak, dosyaları indirmek/yüklemek ve kod enjekte etmek için tasarlanmış bir indirici. Ayrıca web sunucularına karşı bir hizmet reddi (DOS) işlevi ile birlikte gelir ve bir XMRIG madencisi bırakır.
Backdoed Cheat, kötü amaçlı yazılımların bir sonraki aşamasını almadan önce sandbox karşıtı kontroller gerçekleştirir, indirici yalnızca kurban giriş veya yeniden başlattıktan sonra tekrar oturum açtığında çalışır. İndirici ayrıca, bot yükünü düşürmeden önce aynı sandbox dengelerini çalıştıracak şekilde yapılandırılmıştır.
Saldırı zinciri hakkında dikkat çekici olan şey, Blitz Bot ve XMR kripto para madenci yüklerinin, komut ve kontrol (C2) altyapısının bileşenleriyle birlikte bir kucak yüz alanında barındırılmasıdır. Hugging Face, sorumlu açıklamanın ardından kullanıcı hesabını kilitledi.
Nisan 2025’in sonlarından itibaren Blitz’in Rusya, Ukrayna, Belarus ve Kazakistan liderliğindeki 26 ülkede 289 enfeksiyon topladığı tahmin ediliyor. Geçen ay, Blitz’in arkasındaki tehdit oyuncusu, telgraf kanallarında, hile’nin içine gömülü bir Truva atı olduğunu bulduktan sonra botları astıklarını iddia etti. Ayrıca kötü amaçlı yazılımları mağdur sistemlerinden silmek için bir kaldırma aracı sağladılar.
Ünite 42, “Blitz kötü amaçlı yazılımların arkasındaki kişi, sosyal medya platformlarında takma adını kullanan bir Rus konuşmacı gibi görünüyor.” Dedi. “Bu kötü amaçlı yazılım operatörü muhtemelen Blitz’in geliştiricisidir.”
Geliştirme, Cyfirma’nın gözetim, kalıcılık ve sistem kontrolü için kapsamlı yeteneklerle birlikte gelen Duplexspy Rat adlı yeni bir C#tabanlı uzaktan erişim Truva atı (sıçan) detaylandırması ile geliyor. Github’da Nisan 2025’te “sadece eğitim ve etik gösteri” için tasarlandığını iddia ederek yayınlandı.
 |
|
Blitz enfeksiyon zinciri |
Şirket, “Stealth için eventsiz bir yürütme ve ayrıcalık yükseltme teknikleri kullanırken başlangıç klasör çoğaltma ve Windows kayıt defteri değişiklikleri yoluyla kalıcılık oluşturuyor.” Dedi. “Temel özellikler arasında anahtarlama, ekran yakalama, web kamerası/ses casusluğu, uzaktan kabuk ve anti-analiz işlevleri bulunur.”
Duplexspy Rat, kurbanın makinesinde uzaktan ses veya sistem sesleri oynama yeteneğinin yanı sıra, saldırganın, kapanma, yeniden başlatma, oturum açma ve uyku gibi uzatılmış ana bilgisayarda sistem seviyesi komutlarını uzaktan yürütmesini mümkün kılan bir güç kontrol modülü içerir.
“[The malware] Kullanıcı etkileşimini devre dışı bırakırken saldırgan tarafından sağlanan bir görüntü (Base64 kodlu) görüntüleyerek sahte bir kilit ekranı uygular, “Cyfirma ekledi.
Bulgular ayrıca Pozitif Teknolojilerden, TA558, Blind Eagle, Aggah (diğer adıyla Hagga), Faseshifters (AKA Angry Likho, Stick-0050 ve PhantomControl, PhantomControl, Crypter Sunan Dosya ve Araçlar olarak adlandırılan bir kripa sunma gibi birden fazla tehdit aktörünün bir rapor izliyor.
Crypters ve aletler kullanan saldırı zincirleri Amerika Birleşik Devletleri, Doğu Avrupa (Rusya dahil) ve Latin Amerika’yı hedef aldı. Crypter’ın satıldığı bir platform Nitrosoftwares[.]Com, diğerlerinin yanı sıra istismarlar, kripterler, kaydettiriciler ve kripto para birimi kuplayıcıları da dahil olmak üzere çeşitli araçlar sunar.