Bir tehdit aktörü kısa süre önce MiniStealer’ın oluşturucusunu ve panelini bir siber suç forumunda ücretsiz olarak yayınladı. Cyble Research and Intelligence Labs (CRIL) güvenlik analistleri, yakın zamanda gerçekleştirilen rutin bir tehdit avı tatbikatı sırasında bu açığı keşfetti.
Tehdit aktörleri, bu tür oluşturucuları kullanarak kolayca kötü niyetli yükler oluşturabilir ve bu da onları oluşturmalarını kolaylaştırabilir. MiniStealer’ın hedeflediği pek çok şey var, ancak çoğunlukla Chromium tabanlı FTP uygulamalarını ve tarayıcıları hedefliyor.
Tehdit aktörleri, hırsızlarının aşağıdakiler de dahil olmak üzere farklı işletim sistemlerini hedefleyebileceğini iddia ediyor:-
- Windows 7
- Windows 10
- Windows 11
Aynı tehdit aktörü, MiniStealer’ın piyasaya sürülmesinden bir süre sonra bir gönderi yaptı ve burada Parrot Stealer’ın yapıcısını ve panelini 50 USD karşılığında sattı.
Tehdit aktörü tarafından raporda belirtildiği gibi, bu hırsız, MiniStealer’ın değiştirilmiş bir versiyonudur. Tehdit aktörünün, MiniStealer’da bulunmayan Parrot çalan işlevsellik eklemiş olması mümkündür.
Teknik Analiz
Tehdit aktörü, sızdırdığı zip dosyasından iki klasör sızdırdı. Bu klasörlerin içinde bulunan dosyaların listesi: –
- Oluşturucu: MiniStealerBuilder.exe, Stub
- Panel: Web Paneli Kaynak kodu
Tehdit aktörü, .NET çerçevesine dayalı bir ikili oluşturucu yayınladı. Payload’ı daha güçlü hale getirmek için C&C detaylarını içerisine dahil etme yeteneğine sahiptir.
Oluşturucu için gerçek yük, aslında oluşturucunun derleme klasörüne yerleştirilen “saplama” adlı bir dosyada bulunur. C&C ayrıntıları, bu tamamlandıktan sonra nihai yükün oluşturulabilmesi için yüke yazılır.
Sunucu ile bağlantı kurup kurulamayacağının tespiti için Test Butonu tıklandığında C&C sunucusuna Test Raporları gönderilir. Bu günlüklerde bulunan üç dize vardır: –
Mini Stealer uygulaması, Timestomping’i içeren 64 bitlik bir .NET ikili dosyasıdır. Zaman damgası, dosyaların zaman damgalarını değiştirme sürecini ifade eder.
Adli soruşturmalarda gereksiz dikkati başka yöne çekmek için düşmanlar, yüklerini teslim ederken bu tekniği kullanır.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Korsan yazılım indirmek için kaynak olarak warez ve torrent web sitelerinin kullanılması önerilmez.
- Parolalarınızın her zaman güçlü olduğundan emin olun.
- Mümkün olduğunda, çok faktörlü kimlik doğrulamanın zorunlu kılındığından emin olun.
- Cihazınızı veya sistem yazılımınızı otomatik olarak güncelleyen otomatik güncelleme özelliğini etkinleştirin.
- Tanınmış bir anti-virüs programı kullandığınızdan emin olun.
- Emin olmadığınız bir ek veya bağlantı içeren bir e-posta aldığınızda, onu açmayın.
- İşverenler, kimlik avı veya spam e-postalar gibi güvenilmeyen URL’ler gibi kötü niyetli etkinliklere karşı kendilerini nasıl koruyacakları konusunda eğitilmelidir.
- Kötü amaçlı URL’lerin kötü amaçlı yazılım yaymak için kullanılmasını önlemek için onları engellemelisiniz.
- Kötü amaçlı yazılımları ve onlardan veri çalmaya çalışabilecek tehdit aktörlerini belirlemek için ağ düzeyindeki işaretçilere göz kulak olmak önemlidir.
Güvenli Azure AD Koşullu Erişimi – Ücretsiz Teknik Belgeyi İndirin