Samstealer, Hassas Verileri Çalmak İçin Windows Sistemlerine Saldırıyor

   Mayıs 20, 2024  Posted in CyberSecurityNews


Samstealer, Hassas Verileri Çalmak İçin Windows Sistemlerine Saldırıyor

Bilgisayar korsanları, yaygın olarak benimsendikleri ve piyasaya hakim oldukları için esas olarak Windows sistemlerini hedef alıyorlar, dolayısıyla tehdit aktörleri diğer işletim sistemlerine kıyasla maksimum mali kazanç elde edecek veya bu sistemlerden veri hırsızlığı yapacak.

Ayrıca Windows işletim sisteminin karmaşıklığı ve üzerinde çalışan uygulamaların çeşitliliği nedeniyle çok sayıda giriş noktasının bulunması, keşifler için benimsenebilecek çeşitli güvenlik açıkları yaratmaktadır.

Ayrıca, yalnızca Windows tabanlı makineleri etkileyen bilgisayar korsanlığı araçlarının ve kötü amaçlı yazılımların varlığı, bunların tehdit aktörleri arasındaki popülerliğine katkıda bulunan bir faktördür.

CYFIRMA’daki siber güvenlik araştırmacıları yakın zamanda Samstealer’ın hassas verileri çalmak için Windows sistemlerine aktif olarak saldırdığını tespit etti.

ANYRUN kötü amaçlı yazılım korumalı alanının 8.’si Doğum Günü Özel Teklifi: 6 Aylık Ücretsiz Hizmet Kazanın

Samstealer Windows Sistemlerine Saldırıyor

“SamsStealer” adlı yeni bir .NET kötü amaçlı yazılımı, Windows’taki hassas dosyaları çalmak amacıyla Telegram üzerinden yayılıyor.

Geçici bir klasör oluşturur ve ardından Chrome, Edge ve kripto para cüzdanları gibi farklı tarayıcılardan şifreleri, çerezleri ve diğer bilgileri çalmaya devam eder.

Ayrıca, tokenlar veya cüzdan içeriği de dahil olmak üzere Telegram, Discord vb. hakkındaki hesap ayrıntılarının çalınmasına da odaklanılıyor. Cyfirma, çalınan verilerin geçici bir klasöre kaydedildiğini ve sızma dosyalarına dönüştürüldüğünü söyledi.

Ayrıntılı bilgi, kullanıcıların çok sayıda uygulamadaki veri hırsızlığı yeteneğini belirleyerek gelişen bilgi hırsızı tehditlerini tespit etmelerini sağlayacaktır.

Aşağıda hedeflenen kripto para cüzdanlarından bahsettik: –

  • Bitcoin: ‘%appdata%\Bitcoin\wallets’ konumunda bulunur
  • Zcash: ‘%appdata%\Zcash’ konumunda bulunur
  • Armory: ‘%appdata%\Armory’ konumunda bulunur
  • Bytecoin: ‘%appdata%\Bytecoin’ konumunda bulunur
  • Jaxx: ‘%appdata%\com.liberty.jaxx\IndexedDB\file_0.indexeddb.leveldb’ konumunda bulunur
  • Çıkış: ‘%appdata%\Exodus\exodus.wallet’ konumunda bulunur
  • Ethereum: ‘%appdata%\Ethereum\keystore’ konumunda bulunur
  • Electrum: ‘%appdata%\Electrum\wallets’ konumunda bulunur
  • AtomicWallet: ‘%appdata%\atomic\Local Storage\leveldb’ konumunda bulunur
  • Guarda: ‘%appdata%\Guarda\Local Storage\leveldb’ konumunda bulunuyor
  • Coinomi: ‘%localappdata%\Coinomi\Coinomi\wallets’ konumunda bulunur
MyTempFolder (Kaynak – Cyfirma)

Veriler çalınır çalınmaz, SamsStealer geçici dosyaları boşaltır, çalınan her şeyi “Backup.zip” dosyasına paketler ve ana dizini siler.

Daha sonra Backup.zip’i gofile.io’ya yükler ve indirme bağlantısını Telegram aracılığıyla “Yeni keçi Algılandı, Şimdi Katılın: @SamsExploit” yazan bir mesajla paylaşır.

Bu sessiz kötü amaçlı yazılım, kullanıcılar tarafından hedeflenen Windows cihazlarındaki tarayıcılar, uygulamalar ve kripto cüzdanlar arasındaki çeşitli hassas verileri etkili bir şekilde çalıyor.

Ortaya çıkan bu tehditleri bilmek, mahremiyetten ödün verilmesine ve veri ihlallerine yol açabilecek olası izinsiz girişleri önlemek için savunma stratejilerinin yapılandırılmasında önemlidir.

Öneriler

Aşağıda tüm önerilerden bahsettik: –

  • Tehdit algılama ve önleme ile gelişmiş uç nokta güvenliğini dağıtın.
  • Kötü amaçlı yükleri tespit etmek ve kaldırmak için güçlü antivirüs/kötü amaçlı yazılımdan koruma kullanın.
  • Sistemleri, uygulamaları ve güvenlik yazılımlarını düzenli olarak güncelleyin.
  • Yanal hareketi sınırlamak için ağ bölümlendirmesini uygulayın.
  • Çalışanlarınızı kimlik avı ve sosyal mühendislik taktiklerini belirleme konusunda eğitin.
  • Kötü amaçlı IP’leri ve C2 iletişimlerini engellemek için güvenlik duvarlarını yapılandırın.
  • Şüpheli işlemleri, ağ etkinliğini ve veri sızıntısını izleyin.
  • Yetkisiz yürütülebilir dosyaları önlemek için uygulamanın beyaz listeye alınmasını zorunlu kılın.
  • Kötü amaçlı yazılım bulaşmalarına karşı bir olay müdahale planınız olsun.
  • En son tehditler ve güvenlik ihlali göstergeleri (IOC’ler) hakkında güncel bilgilere sahip olun.
  • Fidye yazılımı/veri kaybı etkisini en aza indirmek için düzenli yedeklemeler yapın.
  • Kullanıcı izinlerini kısıtlamak için en az ayrıcalık ilkelerini izleyin.
  • Tehdit istihbaratına dayalı savunmalar oluşturun ve kurallar/IOC’ler sağlayın.

IOC’ler

Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın



Source link