XillenStealer adlı sofistike bir Python tabanlı bilgi stealer, hassas sistem verilerini, tarayıcı kimlik bilgilerini ve kripto para birimi cüzdan bilgilerini toplamak için tasarlanmış Windows kullanıcıları için önemli bir tehdit olarak ortaya çıktı.
Xillenstealer, tehdit aktörlerinin saldırılarını minimal teknik uzmanlıkla yapılandırmasını ve özelleştirmelerini sağlayan Python tabanlı bir Tkinter GUI içeren “Xillenstealer Builder V3.0” adlı kapsamlı bir oluşturucu çerçevesi aracılığıyla çalışır.
İnşaatçı, SHA-256 karma doğrulama yoluyla şifre kimlik doğrulaması içerir ve operatörlerin Telegram bot entegrasyonu yoluyla eksfiltrasyon kanallarını yapılandırmasına izin verir.
Kötü amaçlı yazılımların modüler tasarımı, anlaşmazlık, buhar, kripto para cüzdanları, telgraf oturumları ve oyun başlatıcıları dahil olmak üzere belirli uygulamaların ve hizmetlerin seçici olarak hedeflenmesini sağlar.
Cyfirma’daki güvenlik araştırmacıları, bu açık kaynaklı kötü amaçlı yazılımları GitHub’da halka açık olarak tanımladılar ve bu da onu değişen beceri seviyelerine sahip siber suçlular için kolayca erişilebilir hale getirdi.
Bu esneklik, saldırganların kampanyalarını belirli mağdur profillerine veya organizasyonel hedeflere göre uyarlamalarını sağlar.
Siber güvenlik güvenlik açıklarını ve bulut hizmeti ihlallerini temsil eden bir bulut simgesi üzerinde kilidi açılmış bir dijital asma kilit
Sofistike Kaçma
Xillenstealer, tespiti önlemek için birden fazla anti-analiz ve kum havuzu kaçırma tekniklerini içerir.
Kötü amaçlı yazılım, VM MAC öneklerini, şüpheli üretici tanımlayıcılarını (VMware, Virtualbox, QEMU), hata ayıklama işlemlerini ve Vboxguest.sys gibi kum havuzu ile ilgili sürücüleri tanımlayarak sanallaştırma ortamlarına karşı kapsamlı kontroller gerçekleştirir.
Kalıcılık için, stealer “sistem bakım görevi” kılık değiştirmesi altında Windows sistemlerinde planlanmış görevler oluşturur veya Linux sistemlerinde CRON işleri oluşturur ve sistem yeniden başlatılmasında yürütülür.
Kötü amaçlı yazılım ayrıca enjeksiyonu Explorer.exe gibi meşru pencerelerde işlemeye çalışmaya çalışır, ancak bu özel uygulama teknik sınırlamalar nedeniyle sınırlı bir başarıya sahip olabilir.
Github Kaynakları, Exfiltration, Load Load Teslisi ve Komut ve Kontrol (C2) işlevleri dahil olmak üzere kötü amaçlı yazılım faaliyetleri için istismar edilen kaynaklar
Kapsamlı Veri Hasat Özellikleri
Stealer’ın veri toplama özellikleri kapsamlı ve sistematik olarak tasarlanmıştır. XillenStealer, giriş verileri ve geçmiş SQLite veritabanlarına doğrudan erişerek Chromium tabanlı tarayıcılardan (Chrome, Edge, Cesur, Vivaldi, Opera) ve Firefox’tan tarayıcı ile saklanan kimlik bilgilerini hedefler.
Kötü amaçlı yazılım, şifreli tarayıcı depolamasından düz metin kimlik bilgilerini kurtarmak için sofistike şifre çözme rutinleri kullanır.
Tarayıcı verilerinin ötesinde, XillenStealer özellikle Exodus, AtomicWallet, Coinomi ve Electrum gibi kripto para birimi cüzdanlarını hedefler, özel tuşlar ve cüzdan dosyaları çıkarır.
Kötü amaçlı yazılım ayrıca, anlaşmazlık kimlik doğrulama belirteçleri, buhar kimlik bilgileri, telgraf oturum dosyaları ve oyun başlatıcı yapılandırmalarını hasat ederek mağdur faaliyetlerinin kapsamlı bir profilini oluşturur.
Python’un siber güvenlikteki faydaları, hata ayıklama, güç otomasyonunun, hızlandırma gelişmesinin ve açık kaynaklı doğasının basitleştirilmesini içerir.
Veri eksfiltrasyonu, telgraf bot entegrasyonu yoluyla gerçekleşir, kötü amaçlı yazılım hem HTML hem de aynı çalınan bilgileri içeren metin raporları üretir.
HTML raporu, organize görüntüleme için yapılandırılmış, web tabanlı bir panel sağlarken, metin sürümü tehdit aktörleri için düz metin erişilebilirliği sunar.
Büyük veri hacimlerini işlemek için Xillenstealer, güvenilir telgraf şanzımanı için büyük boy arşivleri 45MB’den küçük segmentlere ayıran bir dosya bölme işlevi içerir.
Her segment otomatik olarak altyazıları tanımlama ile yüklenir ve başarılı iletimden sonra kurbanın sisteminden çıkarılır.
Güvenlik araştırmacıları, XillenStealer’ı “Xillen Killers” markası altında faaliyet gösteren Rusça konuşan tehdit aktörlerine bağladılar. Kötü amaçlı yazılım, GitHub’da Rusça’da yazılan ve Rusça konuşan geliştiricileri güçlü bir şekilde gösteren UI metni ve kod yorumlarıyla “Bengaminbutton” kullanıcı hesabı altında keşfedildi.
Bengaminbutton’un arkasındaki tehdit oyuncusu, 15 yaşında bir tam yığın geliştirici ve çoklu programlama dillerinde uzmanlığa sahip penetrasyon test cihazı olduğunu iddia ediyor. Grup, Xillenkillers’ta merkezi bir forum işletiyor[.]RU, DDOS platformları, sömürü çerçeveleri ve ağ saldırısı yardımcı programları gibi çeşitli saldırgan araçlar sunar.
Kuruluşlar için çıkarımlar
Xillenstealer’ın açık kaynaklı kullanılabilirliği, siber suçluların girişinin engelini önemli ölçüde düşürür ve düşük vasıflı aktörlerin bile sofistike bilgi çalma kampanyaları kullanmasını sağlar.
Kötü amaçlı yazılımların platformlar arası yetenekleri, modüler tasarım ve profesyonel inşaatçı arayüzü ile birleştiğinde, emtia kötü amaçlı yazılım dağılımında bir evrimi temsil eder.
Kuruluşlar, süreç enjeksiyon girişimlerini, olağandışı tarayıcı veritabanı erişim modellerini ve telgraf hizmetlerine yetkisiz ağ iletişimi tanımlayabilen kapsamlı uç nokta algılama ve yanıt çözümleri uygulamalıdır.
Resmi olmayan kaynaklardan yazılım indirme risklerine odaklanan düzenli güvenlik farkındalığı eğitimi, ilk enfeksiyonları önlemek için kritik öneme sahiptir.
Xillenstealer’ın keşfi, tehdit aktörlerinin müşteri desteği, teknik dokümantasyon ve abonelik tabanlı para kazanma modelleriyle yapılandırılmış, hizmet odaklı ceza işletmelerini işlettiği siber suç ekosistemlerinin sürekli profesyonelleşmesini vurgulamaktadır.
Bu eğilim, bilgi çalan kötü amaçlı yazılımların, daha geniş bir siber suçlu aktör yelpazesi için daha erişilebilir hale gelirken sofistike olarak gelişmeye devam edeceğini göstermektedir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.