K7 Labs, Haziran 2025’te ortaya çıkan ve verileri gizlice söndürmek için PowerShell ve yerel pencereler komut dosyası kullanan Visual Basic Script (VBS) tabanlı bir Infostealer olan CMIMAI Stealer’ı araştırdı. Bu, siber güvenlik ortamında yeni bir gelişmedir.
İlk olarak bir tweet ile vurgulanan bu kötü amaçlı yazılım, yürütme politikalarını atlatan, geçici PowerShell komut dosyaları üreten ve Discord Webhooks aracılığıyla iletilmeden önce sistem ve tarayıcı meta verilerini sistematik olarak hasat eden hafif bir tehdit aktör aracı olarak çalışır.
Özellikle, 28 Haziran 2025’te, potansiyel varyantları veya kampanya evrimlerini gösteren farklı bir Webhook URL’sine sahip ek bir örnek ortaya çıktı.
Cmimai Stealer’ın temel işlevselliği
Stealer, sistemin % Temp % dizininde “vbs_reporter_log.txt” adlı geçici bir dosyada yürütme olaylarını günlüğe kaydederek başlatarak başlatılır, daha sonra Win32_operatingsystem sınıfı aracılığıyla Wins32_operatingsystem sınıfı (WMI) ‘nı, işletim sistemi sürümü, caption, mevcut kullanıcı adı, bilgisayar adı ve zamanlamalar gibi kritik sistem detaylarını çıkaracak şekilde sorgulamaya devam eder.
Bu veriler bir JSON yükünde biçimlendirilir ve winhttprequest.5.1 kullanılarak gönderilir veya HTTPS üzerinden MSXML2.xmlhttp nesnelerine geri döner ve saldırgan kontrollü anlaşmazlık kanallarına güvenilir bir şekilde eksfiltrasyon sağlar.
Komut dosyasının tarayıcı meta veri koleksiyon modülü, yerel durum JSON dosyalarını Google Chrome ve Microsoft Edge gibi krom tabanlı tarayıcılardan ayrıştıran, kullanıcı profili adları, e-posta adresleri ve şifreli ana anahtarlar (baz64-‘” ‘Apps_Kred) olarak” VBS_PS_BROWSER.PS1 “i dinamik olarak oluşturur ve yürütür.
Bu, kötü amaçlı yazılımları, giriş verileri veya kimlik bilgisi hırsızlığı için çerezler gibi potansiyel olarak şifresini çözmek için konumlandırırken, analiz edilen örnekler gerçek şifre çözme veya daha fazla pesfiltrasyon için modüllerden yoksundur ve tam teşekküllü veri yağmalanmasından ziyade keşif odaklı bir tasarım önerir.
Bunu tamamlayan bir ekran yakalama bileşeni, System.Drawing ve System.
Kalıcılık, her 60 dakikada bir teşhis raporunu yeniden etkinleştiren sonsuz bir döngü ile elde edilir ve sistem yeniden başlatma veya ileri kaçış tekniklerine ihtiyaç duymadan devam eden gözetim sağlar.
Tehdit etkileri
Savunma bakış açısından, CMIMAI Stealer’ın operasyonel ayak izi, wscript.exe’nin powershell.exe’yi bypased yürütme politikaları ve gizli pencere stilleri içeren anormal ebeveyn -çocuk proses zincirleri de dahil olmak üzere birden fazla algılama vektörü sunuyor. tarayıcı kazıma için vbs_ps_browser.ps1 ”veya ekran görüntüsü yakalama için“ vbs_ps_diag.ps1 ”.
Dosya sistemi göstergeleri, yukarıda belirtilen PowerShell komut dosyaları, günlük dosyaları ve “VBS_DIAG _*. JPG” gibi görüntü çıktıları gibi geçici eserleri %Temp %olarak kapsar.
Ağ telemetrisi, discord.com.com/api/webhooks’a giden trafiği, son noktalarda veya ağ geçitlerinde imza tabanlı engellemeyi kolaylaştıran farklı bir kullanıcı-ajanı “CMIMAI Stealer VBS UI Rev” ile trafiği ortaya çıkarırken, YARA kuralları WMI sorgularını ve discord kancalarını vurgulayan senaryo kalıplarını avlayabilir.
Yeniden başlatma kalıcılığı, şifreli iletişim veya doğrudan kimlik bilgisi şifrelemesi gibi sağlam özelliklere sahip olmasına rağmen, bu Infostealer’ın hem veri hırsızı hem de ikinci aşamalı bir keşif varlığı olarak, çok fazlı saldırılardaki potansiyelinin henüz yerleşik kötü amaçlı bir aileye katkıda bulunulmadan vurgulanması.
Savunuculara hassas sistemlerden beklenmedik anlaşmazlık-bağlı trafiği izlemeleri ve proliferasyonu azaltmak için yüksek riskli senaryo yürütmelerini işaretlemeleri tavsiye edilir.
Uzlaşma Göstergesi (IOCS)
| DOĞRAMAK | Tespit Adı |
|---|---|
| 85D55CACA5B341696382680B3550918 | Trojan (0001140E1) |
| EA792D0458D40471CEFA26EBCCF4ED45 | Trojan (0001140E1) |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!