Stealc Kötü Amaçlı Yazılım Chrome’dan Şifreleri ve Kredi Kartlarını Çalıyor


Stealc Kötü Amaçlı Yazılım Chrome ve Firefox'tan Şifreleri ve Kredi Kartlarını Çalıyor

Bir kurbanın bilgisayarından gizlice özel bilgiler toplayan kötü amaçlı yazılımlara bilgi çalan yazılım denir.

Gizliliğini aktif tutmak için Şifreleme, Polimorfik kod ve Kaçınma davranışları gibi çeşitli teknikler kullanırlar.

DÖRT

Bilgisayar korsanları bu araçları aşağıdakileri kolaylaştırmak için yasa dışı amaçlarla kullanır: –

  • Kimlik Hırsızı
  • Finansal dolandırıcılık
  • Hesaplara yetkisiz erişim
  • Kurumsal casusluk
  • Finansal kazanç
  • Karanlık ağda satılıyor

Siber güvenlik araştırmacısı Aziz Farghly yakın zamanda “Stealc” adında bir bilgi hırsızı keşfetti. Plymouth, 9 Ocak 2023’ten bu yana Rus forumlarında yerleşik olmayan yeni bir hırsız olan Stealc’i Hizmet Olarak Kötü Amaçlı Yazılım olarak sunuyor. Ayarlanabilir veri ayarlarıyla Stealc, diğer en iyi hırsızlarla birlikte gelişir.

Aşağıda, en çok çalanlardan bahsettik: –

  • Daha öte
  • Rakun
  • Mars
  • Kırmızı cizgi

Stealc Kötü Amaçlı Yazılım Şifreleri Çalıyor

Stealc, ham dosya depolamayı atlayarak doğrudan C2 sunucusuna göndererek çeşitli verileri verimli bir şekilde dışarı sızdırır. Bu kolaylaştırılmış süreç gizliliği artırır ve onu gizli operasyonlar için güçlü bir araç haline getirir.

Stealc kötü amaçlı yazılımının ilk analizi, IDA ve X64 Dbg kodundaki sorunları ortaya çıkardı. Stealc, akış karmaşıklığını kontrol etmek için Opaque’ı kullanarak bir JMP’yi bir değere dayalı olarak koşullu atlamalara (JZ/JNZ) dönüştürür.

Koşullu atlamalar (Kaynak - GitHub)
Koşullu atlamalar (Kaynak – GitHub)

Şifre çözme sarma işlevindeki ilk dword, başlangıçta base64 ile kodlanan kötü amaçlı yazılım yapılandırmasının RC4 şifresini çözmek için anahtar olarak kullanılır.

Stealc, 6 yapılı bir süreç gerektiren GetProcAddr() kullanarak API’leri dinamik olarak çözer. Ldr yapısına erişerek PEB adresini alır ve yüklü modüllerin LinkedList’i olan InLoadOrderModuleList’i alır.

Belge

Depolamanızı SafeGuard ile Koruyun

StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.


Burada Ntdll.dll, kernel32.dll tarafından takip edilen ilk modüldür. Stealc daha sonra kernel32.dll yapısına erişerek 0x18’deki öğeden temel adresi alır.

‘mw_play_with_mem()’ işlevinde Stealc, VirtualAllocExNuma API ile öykünmeyi kontrol eder ve öykünülmüşse çıkar. ‘mw_Check_system_memory()’de, fiziksel belleği GlobalMemoryStatusEx ile değerlendirerek 2 GB’ın üzerinde olduğundan emin olur.

Stealc daha sonra bilgisayar ve kullanıcı adlarını karşılaştırarak Windows Defender’da çalışıp çalışmadığını doğrular. GetSystemTime tarafından belirlenen sabit bir sürenin ardından yürütülürse çıkar.

Siyasi konulara dayalı olarak belirli ülkelere bulaşmayı, Dil Kimliklerini kontrol etmeyi ve maçların atlanmasını önler.

İlk kontrollerin ardından Stealc, OpenEventA’yı kullanarak çalışma durumunu doğrular ve eğer bu ilk çalıştırma ise benzersiz bir adla yeni bir etkinlik oluşturur.

AV kontrolleri, API yükleme ve yapılandırma şifre çözme işlemlerinin ardından Stealc normal davranışa geçer. C2 www ile iletişim kurar[.]fff-ttt[.]com, kurbanın makinesini ‘C’ Sürücüsü Seri numarasıyla tanımlıyor.

Her paket için benzersiz kimlikler oluşturur, ardından InternetOpenA kullanarak iletişim kurar ve yanıtların kodunu Win API CryptStringToBinaryA ile çözerek arabellek boyutu için onu iki kez çağırır.

Paket Kimliği Oluştur (Kaynak - GitHub)
Paket Kimliği Oluştur (Kaynak – GitHub)

Stealc daha sonra mw_parse_configuration kullanarak aşağıdaki tarayıcı veritabanlarını çalacak şekilde yapılandırılır: –

  • Krom
  • Mozilla tabanlı
  • Opera

C2’den eklentiler ister, sistem/donanım bilgilerini toplar, verileri kodlar ve Chrome veri alımı için Sqlite3 Dll’yi indirir. Stealc, dosyanın doğruluğunu kontrol ettikten sonra Chrome veritabanlarından API adreslerini alır.

C2, kripto para birimi cüzdanı ve şifre dosyalarının sızması için dosya adları sağlar. Stealc, ShellLink’leri yönetmek için COM’u kullanarak orijinal dosyaların kopyalanmasını sağlar.

Yetenekleri çalmak

Aşağıda Stealc hırsızının tüm çalma yeteneklerinden bahsettik: –

  • Chrome/Firefox/Opera’ya kaydedilen oturum açma bilgileri, kredi kartları, çerezler ve Geçmiş.
  • Yukarıdaki tarayıcılara yüklenen Cüzdan Uzantıları
  • yerel Kripto cüzdan dosyası
  • Şifre içerebilecek bazı dosyalar
  • Dosyalar önemli gizli veriler içeriyor
  • Outlook hesapları
  • Anlaşmazlık Jetonları
  • Telgraf Jetonları
  • Steam ssfn dosyaları ve yapılandırma verileri
  • qtox yapılandırma dosyaları
  • Pidgin yapılandırma dosyaları
  • Kurbanın makinesinin ekran görüntülerini alın

IOC’ler

sha256:-

  • 1E09D04C793205661D88D6993CB3E0EF5E5A37A8660F504C1D36B0D8562E63A2
  • 77d6f1914af6caf909fa2a246fcec05f500f79dd56e5d0d466d55924695c702d
  • 87f18bd70353e44aa74d3c2fda27a2ae5dd6e7d238c3d875f6240283bc909ba6

C2:-

  • hxxp://fff-ttt[.]com/984dd96064cb23d7.php
  • hxxp://moneylandry[.]com/2ccaf544c0cf7de7
  • hxxp://162.0.238[.]10/752e382b4dcf5e3f.php
  • hxxp://185.5.248[.]95/api.php
  • hxxp://aa-cj[.]com/6842f013779f3d08.php
  • hxxp://moneylandry[.]com/bef7fb05c9ef6540.php
  • hxxp://94.142.138[.]48/f9f76ae4bb7811d9.php
  • hxxp://185.247.184[.]7/8c3498a763cc5e26.php
  • hxxps://185.247.184[.]7/8c3498a763cc5e26.php
  • hxxp://23.88.116[.]117/api.php
  • hxxp://95.216.112[.]83/413a030d85acf448.php
  • hxxp://179.43.162[.]2/d8ab11e9f7bc9c13.php
  • hxxp://185.5.248[.]95/c1377b94d43eacea.php

Patch Manager Plus, 850’den fazla üçüncü taraf uygulamanın otomatik güncellemeleri için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.



Source link