Bir kurbanın bilgisayarından gizlice özel bilgiler toplayan kötü amaçlı yazılımlara bilgi çalan yazılım denir.
Gizliliğini aktif tutmak için Şifreleme, Polimorfik kod ve Kaçınma davranışları gibi çeşitli teknikler kullanırlar.
Bilgisayar korsanları bu araçları aşağıdakileri kolaylaştırmak için yasa dışı amaçlarla kullanır: –
- Kimlik Hırsızı
- Finansal dolandırıcılık
- Hesaplara yetkisiz erişim
- Kurumsal casusluk
- Finansal kazanç
- Karanlık ağda satılıyor
Siber güvenlik araştırmacısı Aziz Farghly yakın zamanda “Stealc” adında bir bilgi hırsızı keşfetti. Plymouth, 9 Ocak 2023’ten bu yana Rus forumlarında yerleşik olmayan yeni bir hırsız olan Stealc’i Hizmet Olarak Kötü Amaçlı Yazılım olarak sunuyor. Ayarlanabilir veri ayarlarıyla Stealc, diğer en iyi hırsızlarla birlikte gelişir.
Aşağıda, en çok çalanlardan bahsettik: –
- Daha öte
- Rakun
- Mars
- Kırmızı cizgi
Stealc Kötü Amaçlı Yazılım Şifreleri Çalıyor
Stealc, ham dosya depolamayı atlayarak doğrudan C2 sunucusuna göndererek çeşitli verileri verimli bir şekilde dışarı sızdırır. Bu kolaylaştırılmış süreç gizliliği artırır ve onu gizli operasyonlar için güçlü bir araç haline getirir.
Stealc kötü amaçlı yazılımının ilk analizi, IDA ve X64 Dbg kodundaki sorunları ortaya çıkardı. Stealc, akış karmaşıklığını kontrol etmek için Opaque’ı kullanarak bir JMP’yi bir değere dayalı olarak koşullu atlamalara (JZ/JNZ) dönüştürür.
Şifre çözme sarma işlevindeki ilk dword, başlangıçta base64 ile kodlanan kötü amaçlı yazılım yapılandırmasının RC4 şifresini çözmek için anahtar olarak kullanılır.
Stealc, 6 yapılı bir süreç gerektiren GetProcAddr() kullanarak API’leri dinamik olarak çözer. Ldr yapısına erişerek PEB adresini alır ve yüklü modüllerin LinkedList’i olan InLoadOrderModuleList’i alır.
StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.
StorageGuard’ı Ücretsiz Deneyin
Burada Ntdll.dll, kernel32.dll tarafından takip edilen ilk modüldür. Stealc daha sonra kernel32.dll yapısına erişerek 0x18’deki öğeden temel adresi alır.
‘mw_play_with_mem()’ işlevinde Stealc, VirtualAllocExNuma API ile öykünmeyi kontrol eder ve öykünülmüşse çıkar. ‘mw_Check_system_memory()’de, fiziksel belleği GlobalMemoryStatusEx ile değerlendirerek 2 GB’ın üzerinde olduğundan emin olur.
Stealc daha sonra bilgisayar ve kullanıcı adlarını karşılaştırarak Windows Defender’da çalışıp çalışmadığını doğrular. GetSystemTime tarafından belirlenen sabit bir sürenin ardından yürütülürse çıkar.
Siyasi konulara dayalı olarak belirli ülkelere bulaşmayı, Dil Kimliklerini kontrol etmeyi ve maçların atlanmasını önler.
İlk kontrollerin ardından Stealc, OpenEventA’yı kullanarak çalışma durumunu doğrular ve eğer bu ilk çalıştırma ise benzersiz bir adla yeni bir etkinlik oluşturur.
AV kontrolleri, API yükleme ve yapılandırma şifre çözme işlemlerinin ardından Stealc normal davranışa geçer. C2 www ile iletişim kurar[.]fff-ttt[.]com, kurbanın makinesini ‘C’ Sürücüsü Seri numarasıyla tanımlıyor.
Her paket için benzersiz kimlikler oluşturur, ardından InternetOpenA kullanarak iletişim kurar ve yanıtların kodunu Win API CryptStringToBinaryA ile çözerek arabellek boyutu için onu iki kez çağırır.
Stealc daha sonra mw_parse_configuration kullanarak aşağıdaki tarayıcı veritabanlarını çalacak şekilde yapılandırılır: –
- Krom
- Mozilla tabanlı
- Opera
C2’den eklentiler ister, sistem/donanım bilgilerini toplar, verileri kodlar ve Chrome veri alımı için Sqlite3 Dll’yi indirir. Stealc, dosyanın doğruluğunu kontrol ettikten sonra Chrome veritabanlarından API adreslerini alır.
C2, kripto para birimi cüzdanı ve şifre dosyalarının sızması için dosya adları sağlar. Stealc, ShellLink’leri yönetmek için COM’u kullanarak orijinal dosyaların kopyalanmasını sağlar.
Yetenekleri çalmak
Aşağıda Stealc hırsızının tüm çalma yeteneklerinden bahsettik: –
- Chrome/Firefox/Opera’ya kaydedilen oturum açma bilgileri, kredi kartları, çerezler ve Geçmiş.
- Yukarıdaki tarayıcılara yüklenen Cüzdan Uzantıları
- yerel Kripto cüzdan dosyası
- Şifre içerebilecek bazı dosyalar
- Dosyalar önemli gizli veriler içeriyor
- Outlook hesapları
- Anlaşmazlık Jetonları
- Telgraf Jetonları
- Steam ssfn dosyaları ve yapılandırma verileri
- qtox yapılandırma dosyaları
- Pidgin yapılandırma dosyaları
- Kurbanın makinesinin ekran görüntülerini alın
IOC’ler
sha256:-
- 1E09D04C793205661D88D6993CB3E0EF5E5A37A8660F504C1D36B0D8562E63A2
- 77d6f1914af6caf909fa2a246fcec05f500f79dd56e5d0d466d55924695c702d
- 87f18bd70353e44aa74d3c2fda27a2ae5dd6e7d238c3d875f6240283bc909ba6
C2:-
- hxxp://fff-ttt[.]com/984dd96064cb23d7.php
- hxxp://moneylandry[.]com/2ccaf544c0cf7de7
- hxxp://162.0.238[.]10/752e382b4dcf5e3f.php
- hxxp://185.5.248[.]95/api.php
- hxxp://aa-cj[.]com/6842f013779f3d08.php
- hxxp://moneylandry[.]com/bef7fb05c9ef6540.php
- hxxp://94.142.138[.]48/f9f76ae4bb7811d9.php
- hxxp://185.247.184[.]7/8c3498a763cc5e26.php
- hxxps://185.247.184[.]7/8c3498a763cc5e26.php
- hxxp://23.88.116[.]117/api.php
- hxxp://95.216.112[.]83/413a030d85acf448.php
- hxxp://179.43.162[.]2/d8ab11e9f7bc9c13.php
- hxxp://185.5.248[.]95/c1377b94d43eacea.php
Patch Manager Plus, 850’den fazla üçüncü taraf uygulamanın otomatik güncellemeleri için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.