Tarayıcı Şifrelerini ve Çerezlerini Çalmak


Yeni Editbot Stealer İş Başında;  Tarayıcı Şifrelerini ve Çerezlerini Çalmak

Tehdit aktörlerinin çok aşamalı bir saldırı gerçekleştirmek için WinRAR arşiv dosyalarını minimum tespitle kullandığı, Editbot Stealer adlı yeni bir kötü amaçlı kampanya keşfedildi. Tehdit aktörleri, kullanıcıları yanıltıcı web sitelerine çekmek için “ayıplı ürün geri gönderilecek” temasını kullanıyor.

Ancak tehdit aktörlerinin kullandığı zararlı WinRAR arşivi, ilk aşama saldırılar için .bat dosyası ve JSON dosyasından, daha sonraki aşamalar için ise bazı Powershell komutlarından oluşuyor. Bu kötü amaçlı dosyaların dağıtımı sosyal medya üzerinden yapıldı.

DÖRT

Editbot Hırsızı İş Başında

İlk Erişim ve Kalıcılık

Cyber ​​Security News ile paylaşılan raporlara göre, saldırının ilk aşamalarında kullanılan BAT dosyası, ek yüklerin indirilmesi ve çalıştırılması için birden fazla Powershell komutunu içeren “Ekran Görüntüsü Ürün Fotoğrafı Sample.bat” adını taşıyor.

BAT ve JSON dosyalarını içeren RAR dosyası (Kaynak: Cyble)
BAT ve JSON dosyalarını içeren RAR dosyası (Kaynak: Cyble)

BAT dosyasının içindeki ilk PowerShell komutu, Gitlab’dan başka bir BAT dosyası indirir ve kalıcı yürütme için bunu başlangıç ​​​​klasörüne “WindowsSecure.bat” adı altında kaydeder. Bu BAT dosyası, daha sonra saldırı aşamasında indirilecek olan Python hırsızını düzenli olarak çalıştırmak için kullanılır.

İkinci PowerShell komutu, aynı GitLab deposundan “Document.zip” adlı bir ZIP dosyasını alır ve onu C:\Users\Public dizinine kaydeder. Üçüncü powershell komutu, bu ZIP dosyasını python hırsızı “libb1.py”yi içeren C:\Users\Public\Documents dizinine çıkarır.

Python Stealer’ın Çalışması – Editbot

Python hırsızı, çeşitli tarayıcılarla ilişkili kimlik bilgileri çalma etkinliklerinin yanı sıra, kurbanların ülke kodunu, IP adresini ve zaman damgasını çıkarmak da dahil olmak üzere çeşitli işlevleri yerine getiren karmaşık programlama kodundan oluşur.

Bu hırsız, çerezler, oturum açma verileri, web verileri ve yerel durum gibi birden fazla bilgiyi tarayıcı profili klasöründen çıkarır ve bunları %temp% klasöründe saklar. Çalınan bilgilerin tamamı “pass.txt” adlı bir metin dosyasında saklanıyor.

Hırsız, kurbandan tüm bilgileri topladıktan sonra, çıkarılan tüm bilgilerin bir ZIP arşivini oluşturur ve bunları aynı %temp% dizininde saklar. Tehdit aktörleri bu bilgileri sızdırmak için telgraf botları kurdu.

Ayrıca, kaynak kodu, çıkarma yöntemi ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan Editbot hırsızı hakkında eksiksiz bir rapor yayınlandı.

Uzlaşma Göstergeleri

Göstergeler Gösterge Türü Detaylar
fd8391a1a1a0115880e8c3ee2e76fbce741f1b3c5fbcb728b9fac37c21e9f6d7b7 feff390b99dfe7619a20748582279bc13c04f52aca5bee4607ddd920729e5c2b4fc89bb c SHA256 SHA1MD5 Ekran Görüntüsü-Ürün-Fotoğraf-Örnek_25929.rar
d13aba752f86757de6628e833f4fdf4c625f480056e93b919172e9c309448b80 18e96d94089086848a0569a1e1d8051da0f6f444e9e4cd111cadcf94c4693653 5 4df3fdc SHA256 SHA1MD5 Ekran Görüntüsü Ürün Fotoğrafı Sample.bat
3f7bd47fbbf1fb0a63ba955c8f9139d6500b6737e5baf5fdb783f0cedae94d6d eed59a282588778ffbc772085b03d229a5d99e35669e7ac187fb57c4d90b07d9a6bb 1 d42 SHA256 SHA1MD5 Python hırsızı (libb1.py)
9d048e99bed4ced4f37d91a29763257a1592adb2bc8e17a66fa07a922a0537d0 93d70f02b2ee2c4c2cd8262011ed21317c7d92def23465088d26e90514b56619360 1 6c05 SHA256 SHA1MD5 ürün-_img_2023-12_86-13a30f_13373.rar
bc3993769a5f82e454acef92dc2362c43bf7d6b6b203db7db8803faa996229aa cf019e96e16fdaa504b29075aded36be27691956c3a447c5c6c73d80490347c1b4a fe9d5 SHA256 SHA1MD5 resim – photo_product _2023-12_86-13a30ff503fd6638c5863dta.bat



Source link