“QWERTY Info Stealer” olarak bilinen yeni bir kötü amaçlı yazılım türü ortaya çıktı. Gelişmiş hata ayıklama önleme teknikleri ve veri sızdırma yetenekleriyle Windows sistemlerini hedef alıyor.
Bu kötü amaçlı yazılım mailservicess etki alanında barındırılıyor[.]com, bireyler ve kurumlar için önemli bir tehdit oluşturmaktadır.
Kapsamlı analizimiz, hata ayıklama önleme stratejileri, veri toplama yöntemleri ve Komuta ve Kontrol (C2) sunucularıyla etkileşimi de dahil olmak üzere teknik yönlerini aydınlatıyor.
QWERTY Bilgi Hırsızının Kökeni
QWERTY Bilgi Hırsızı, mailservicess alan adına sahip, herkese açık bir şekilde dizinlenmiş bir web sunucusunda keşfedildi[.]com, Almanya’nın Frankfurt kentindeki Linux tabanlı sanal özel bir sunucuda barındırılıyor.
Ubuntu Linux 20.04 çalıştırdığı tespit edilen sunucuda, yalnızca 6579 numaralı portta çalışan SSH servisinin yanı sıra sınırlı sayıda hizmet açıktı.
Bu kötü amaçlı yazılım hxxps://mailservicess URL’sinden indirilir[.]com/res/data/i.exe adresinde yer alır ve tespit edilmekten kaçınmak için gelişmiş hata ayıklama teknikleri kullanır.
Hata Ayıklama Önleme Teknikleri
Cyfirma raporuna göre QWERTY Info Stealer, güvenlik araştırmacıları tarafından analiz ve tespit edilmekten kaçınmak için birden fazla hata ayıklama önleme stratejisi kullanıyor.
Çalıştırma sırasında, IsProcessorFeaturePresent() ve IsDebuggerPresent() gibi Windows API işlevlerini kullanarak bir hata ayıklayıcının varlığını kontrol eder.
Ayrıca, standart uygulamalarda yaygın olarak belgelenmeyen veya kullanılmayan, daha az bilinen __CheckForDebuggerJustMyCode fonksiyonunu kullanır.
Bu teknikler, bir hata ayıklama ortamı tespit edildiğinde kötü amaçlı yazılımı sonlandırmak için tasarlanmıştır; bu da analistlerin kötü amaçlı yazılımın davranışını incelemesini zorlaştırır.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Veri Toplama ve Sızdırma
Hata ayıklama kontrolleri tamamlandıktan sonra, QWERTY Info Stealer veri toplama sürecine başlar. Toplanan verileri ve telemetriyi depolamak için enfekte sistemde C:\Users\AppData\Roaming\TestLog\ ve C:\Users\user\AppData\Roaming\Intel gibi dizinler oluşturur.
Kötü amaçlı yazılım, GetComputerNameA(), GetAdaptersInfo(), GetVersionExA() ve GetUserNameA() dahil olmak üzere çeşitli API çağrılarını kullanarak sistem bilgilerini toplar.
Kötü amaçlı yazılım ayrıca Internet Explorer verilerini hedef alır, hassas web tarayıcısı dosyalarına, geçmişine ve çerezlerine erişir. Kendini “Systems.exe” adıyla C:\Users\AppData\Roaming\Mozilla\ dizinine kopyalar ve daha fazla yürütme için ek yükler indirmek üzere C2 URL’lerine bağlanır.
Komuta ve Kontrol Sunucularıyla Etkileşim
QWERTY Info Stealer, in.exe ve up.exe gibi ek yürütülebilir dosyaları indirmek için C2 sunucularıyla iletişim kurar ve bu dosyalar “index.exe” ve “upload.exe” olarak C:\Users\AppData\Roaming\intel dizinine kaydedilir.
Bu yürütülebilir dosyalar daha sonra sistemdeki tüm dosyaları indekslemek ve bunları HTTP POST istekleri kullanarak C2 sunucusuna yüklemek için yürütülür. Kötü amaçlı yazılım, sızdırma sırasında HTTP çağrılarında ‘qwerty’ anahtar sözcüğünü kullanarak benzersiz imzasını vurgular.
QWERTY Info Stealer, Windows sistemleri için önemli bir tehdit oluşturan karmaşık bir kötü amaçlı yazılımdır. Gelişmiş hata ayıklama önleme teknikleri ve kapsamlı veri sızdırma yetenekleri onu siber güvenlik alanında zorlu bir düşman haline getirir.
Kötü amaçlı yazılımın sistem telemetrisini ve tarayıcı verilerini toplayabilme ve dosya dizini oluşturma becerisi, bu tür tehditlerle ilişkili riskleri azaltmak için sürekli dikkatli olmanın ve gelişmiş tespit stratejilerinin önemini vurguluyor.
Siber güvenlik uzmanları, en son tehditler hakkında bilgi sahibi olmalı ve sistemleri ve verileri kötü niyetli kişilerden korumak için güçlü güvenlik önlemleri kullanmalıdır.
QWERTY Bilgi Hırsızı, siber suçluların gelişen taktiklerini ve kötü amaçlı yazılımlara karşı mücadelede sürekli adaptasyon gerekliliğini çarpıcı bir şekilde hatırlatıyor.
QWERTY Bilgi Hırsızı gibi tehditlerin teknik inceliklerini anlayan kuruluşlar, potansiyel saldırılara daha iyi hazırlanabilir ve yanıt verebilir, kritik varlıklarını koruyabilir ve bilgi sistemlerinin bütünlüğünü koruyabilir.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access