Raven Stealer, kullanıcıların hassas verilerine zarar veren sofistike bir bilgi çalan kötü amaçlı yazılım.
Bu çağdaş kötü amaçlı yazılım, ileri düzey kaçınma tekniklerini aerodinamik veri açığa vurma yetenekleriyle birleştirerek kimlik bilgisi hırsızlığı teknolojisinde bir evrim ile ilgili bir evrimi temsil etmektedir.
Raven Stealer, öncelikle Delphi ve C ++ ‘da geliştirilen hafif ama son derece etkili bir bilgi çalan kötü amaçlı yazılım olarak öne çıkıyor.
Siber güvenlik araştırmacıları, Google Chrome ve diğer krom tabanlı tarayıcıları hedefleyen önemli bir tehdit belirlediler.
Gizli ve verimlilik için tasarlanan bu kötü amaçlı yazılım, olağanüstü operasyonel gizleme yeteneklerini korurken minimum kullanıcı etkileşimi ile çalışır.
Kötü amaçlı yazılım özellikle krom, kenar ve cesur, sistematik olarak şifreleri, çerezleri, ödeme verilerini ve enfekte sistemlerden otomatik doldurma girişleri gibi krom tabanlı tarayıcıları hedefler.
Kötü amaçlı yazılımın sofistike yaklaşımı, bu tarayıcılardaki yerel depolama yollarına ve kimlik bilgisi tonozlarına erişmeyi ve saldırganların potansiyel hesap uzlaşması ve veri açığa çıkması için giriş bilgilerini çalmasını sağlar.
Raven Stealer’ı özellikle tehlikeli kılan şey, tarayıcıların yerel durum dosyalarında depolanan AES şifreleme anahtarlarına erişerek, şifreli kimlik bilgilerini kolay hırsızlık için düz metin biçimine dönüştürerek hassas tarayıcı verilerini şifresini çözme yeteneğidir.
Kötü amaçlı yazılım analizinin dört ana aşaması: statik özellikler analizi, etkileşimli davranış analizi, tam otomatik analiz ve manuel kod tersine çevirme
Raven Stealer, onu geleneksel kötü amaçlı yazılımlardan ayıran gelişmiş teknik yetenekleri kullanır.
Kötü amaçlı yazılım, yerleşik bir kaynak düzenleyicisine sahip modüler bir tasarım kullanır ve saldırganların telgraf bot tokenleri gibi yapılandırma ayrıntılarını doğrudan yüke yerleştirmesine izin verir.
Bu aerodinamik yaklaşım, konuşlandırmayı düşük vasıflı tehdit aktörleri için bile erişilebilir hale getirerek potansiyel erişimini önemli ölçüde genişletir.
Telegram’ın komut ve kontrol (C2) benzeri işlemler için entegrasyonu, aerodinamik bir kullanıcı arayüzü ile birleştirilir.
Dağıtım tipik olarak yeraltı forumları aracılığıyla gerçekleşir ve çatlak yazılımlarla bir araya gelir, bu da onu hem kişisel hem de kurumsal ortamlar için kalıcı bir tehdit haline getirir.
Kötü amaçlı yazılım, siber suçluların oluşturucu araçlarına erişebileceği ve kaynakları destekleyebileceği özel telgraf kanalları aracılığıyla aktif olarak tanıtılır.
Kötü amaçlı yazılım araçlarının bu ticarileştirilmesi, sofistike saldırıların giderek daha erişilebilir hale geldiği siber suçların gelişen manzarasını göstermektedir.
Kötü amaçlı yazılımın yürütme stratejisi, harici modüllerin bir araya getirilmesi için ortak bir Delphi uygulaması olan .rsrc bölümünde depolanan gömülü kaynakları içerir.
Bu kaynaklar çıkarılır ve yürütme sırasında belleğe yüklenir, kötü amaçlı yazılımların dosyaları diske bırakmadan çalışmasına izin verir, gizli yeteneklerini ve kaçınma potansiyelini önemli ölçüde artırır.
Veri Defiltrasyonu ve İletişim
Raven Stealer’ın en ilgili özelliklerinden biri, telgraf bot entegrasyonu yoluyla gerçek zamanlı veri açma özelliğidir.
Kötü amaçlı yazılım, çalıntı klasör hiyerarşisi içindeki çalıntı kimlik bilgilerini ve sistem bilgilerini %yerel %\ ravenstealer altında birleştirir ve saldırganlara verimli iletim için toplanan verileri düzenler.
Kötü amaçlı yazılım, sırasıyla kaynak kimlikleri 102 ve 103 kullanarak kaynak bölümünde düz metin olarak chat_id ve bot_token özelliğini özel olarak yerleştirir.
Yeni Backdoor kötü amaçlı yazılım, Netskope Tehdit Laboratuvarı Araştırmacılar tarafından keşfedilen uzaktan kumanda için Telegram Bot API’sını kullanıyor
Çalınan veriler, sistematik olarak ayrı dosyalar halinde düzenlenen çeşitli hassas bilgiler türlerini içerir.
Tarayıcı çerezleri çoklu krom tabanlı tarayıcıdan toplanır ve kurabiye.txt dosyalarında saklanır, oturum kaçırma ve kullanıcı taklit edilmesini sağlar.
Kullanıcı adları ve şifreler dahil şifre çözülmüş kimlik bilgileri parolalarda derlenir.
Belki de en çok, saklanan kredi ve banka kartı detayları faturalandırma bilgileri ile birlikte tarayıcılardan çıkarılır ve ödeme.txt dosyalarına kaydedilir, finansal sahtekarlık ve kimlik hırsızlığı için fırsatlar yaratır.
Kötü amaçlı yazılım ayrıca mağdurların masaüstlerinin ekran görüntülerini yakalar ve toplanan tüm eserleri iletim için zip arşivlerine sıkıştırır.
Bu dosyalar daha sonra API uç noktası kullanılarak telgrafla saldırganlara gönderilir ve siber suçlulara kurbanların dijital yaşamlarına ve finansal bilgilerine kapsamlı erişim sağlar.
Raven Stealer, şifreli yük enjeksiyonu ve proses oyma tekniklerini uygularken sofistike kaçış yeteneklerini gösterir.
Kötü amaçlı yazılım, ana DLL yükünü ChaCha20 şifrelemesini kullanarak yerleştirerek geleneksel güvenlik önlemlerinin algılanmasını önlerken kendi ikili içinde saklanır.
Yürütme sırasında, kötü amaçlı yazılım, askıya alınmış durumlarda yeni krom tarayıcı örnekleri başlatarak ve bu meşru süreçlere şifre çözülmüş DLL’leri enjekte ederek yansıtıcı işlem oyununun kullanılması kullanır.
Bu teknik, kötü amaçlı yazılımın güvenilir yazılım kimliği altında yürütülmesini sağlar ve süreç itibarına ve bilinen kötü niyetli imzalara dayanan davranışsal ve imza tabanlı algılama sistemlerini etkili bir şekilde atar.
Bellek içi yürütme yaklaşımı, kötü niyetli kodun diski asla şifre çözülmüş formunda dokunmamasını sağlar, bu da adli analiz ve algılamayı güvenlik profesyonelleri ve otomatik sistemler için önemli ölçüde daha zorlayıcı hale getirir.
Hafifletme
Kuruluşlar ve bireysel kullanıcılar Raven Stealer ve benzer tehditlere karşı korumak için çeşitli savunma önlemleri uygulayabilir.
Davranış temelli tehdit algılama sistemleri, kötü amaçlı yazılımların kaçınma tekniklerine bakılmaksızın şüpheli faaliyetleri belirleyebildikleri için bu tür kötü amaçlı yazılımlara karşı en etkili olduğunu kanıtlamaktadır.
Telgraf trafiğinin düzenli olarak izlenmesi, özellikle kurumsal ortamlarda potansiyel veri açığa çıkma girişimlerinin tespit edilmesine yardımcı olabilir.
Kötü amaçlı yazılım genellikle kimlik avı taktikleri ve kötü amaçlı yazılım indirmeleri yoluyla yayıldığından, kullanıcı eğitimi ilk enfeksiyonları önlemede çok önemlidir.
Kuruluşlar, çatlak yazılımı indirme ve şüpheli bağlantıları veya ekleri tıklama risklerine odaklanan kapsamlı güvenlik farkındalık programları uygulamalıdır.
Teknik savunmalar, gerçek zamanlı koruma özellikli güncellenmiş antivirüs çözümlerini, tercihen ileri davranışsal analiz yeteneklerini kullananları içermelidir.
Görev yöneticisi aracılığıyla düzenli sistem performans izleme, kötü amaçlı yazılım varlığını gösterebilecek olağandışı süreçlerin veya kaynak tüketim modellerinin belirlenmesine yardımcı olabilir. En önemlisi, tutarlı yazılım yaması, kötü amaçlı yazılımın başlangıç sistem erişimi için kullanabileceği güvenlik açıklarını kapatmaya yardımcı olur.
Raven Stealer’ın ortaya çıkışı, sofistike teknik yetenekleri ileri siber saldırıları demokratikleştiren kullanıcı dostu dağıtım araçlarıyla birleştirerek bilgi çalan kötü amaçlı yazılımlarda önemli bir evrimi temsil eder.
Bu tehdit gelişmeye devam ettikçe, hem bireysel kullanıcılar hem de kuruluşlar, hassas verileri giderek daha karmaşık hale gelen bu tehditlerden korumak için uyanık kalmalı ve kapsamlı güvenlik önlemleri uygulamalıdır.
Uzlaşma göstergeleri
| Dosya Göstergesi – SHA256 | Bağlam |
| 2b2485942253784e0f6617b26f5e6a05b8ad45f092d2856473439fa6e095ce4 | Kuzgun stealer |
| 65ca89993f2e21b95362e151a7cfc50b87183bf0e9c5b753c5e5e17b46f8c24 | 65a16km1.69n.exe |
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.