Tehdit aktörlerinin çok aşamalı bir saldırı gerçekleştirmek için WinRAR arşiv dosyalarını minimum tespitle kullandığı, Editbot Stealer adlı yeni bir kötü amaçlı kampanya keşfedildi. Tehdit aktörleri, kullanıcıları yanıltıcı web sitelerine çekmek için “ayıplı ürün geri gönderilecek” temasını kullanıyor.
Ancak tehdit aktörlerinin kullandığı zararlı WinRAR arşivi, ilk aşama saldırılar için .bat dosyası ve JSON dosyasından, daha sonraki aşamalar için ise bazı Powershell komutlarından oluşuyor. Bu kötü amaçlı dosyaların dağıtımı sosyal medya üzerinden yapıldı.
Editbot Hırsızı İş Başında
İlk Erişim ve Kalıcılık
Cyber Security News ile paylaşılan raporlara göre, saldırının ilk aşamalarında kullanılan BAT dosyası, ek yüklerin indirilmesi ve çalıştırılması için birden fazla Powershell komutunu içeren “Ekran Görüntüsü Ürün Fotoğrafı Sample.bat” adını taşıyor.
BAT dosyasının içindeki ilk PowerShell komutu, Gitlab’dan başka bir BAT dosyası indirir ve kalıcı yürütme için bunu başlangıç klasörüne “WindowsSecure.bat” adı altında kaydeder. Bu BAT dosyası, daha sonra saldırı aşamasında indirilecek olan Python hırsızını düzenli olarak çalıştırmak için kullanılır.
İkinci PowerShell komutu, aynı GitLab deposundan “Document.zip” adlı bir ZIP dosyasını alır ve onu C:\Users\Public dizinine kaydeder. Üçüncü powershell komutu, bu ZIP dosyasını python hırsızı “libb1.py”yi içeren C:\Users\Public\Documents dizinine çıkarır.
Python Stealer’ın Çalışması – Editbot
Python hırsızı, çeşitli tarayıcılarla ilişkili kimlik bilgileri çalma etkinliklerinin yanı sıra, kurbanların ülke kodunu, IP adresini ve zaman damgasını çıkarmak da dahil olmak üzere çeşitli işlevleri yerine getiren karmaşık programlama kodundan oluşur.
Bu hırsız, çerezler, oturum açma verileri, web verileri ve yerel durum gibi birden fazla bilgiyi tarayıcı profili klasöründen çıkarır ve bunları %temp% klasöründe saklar. Çalınan bilgilerin tamamı “pass.txt” adlı bir metin dosyasında saklanıyor.
Hırsız, kurbandan tüm bilgileri topladıktan sonra, çıkarılan tüm bilgilerin bir ZIP arşivini oluşturur ve bunları aynı %temp% dizininde saklar. Tehdit aktörleri bu bilgileri sızdırmak için telgraf botları kurdu.
Ayrıca, kaynak kodu, çıkarma yöntemi ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan Editbot hırsızı hakkında eksiksiz bir rapor yayınlandı.
Uzlaşma Göstergeleri
| Göstergeler | Gösterge Türü | Detaylar |
| fd8391a1a1a0115880e8c3ee2e76fbce741f1b3c5fbcb728b9fac37c21e9f6d7b7 feff390b99dfe7619a20748582279bc13c04f52aca5bee4607ddd920729e5c2b4fc89bb c | SHA256 SHA1MD5 | Ekran Görüntüsü-Ürün-Fotoğraf-Örnek_25929.rar |
| d13aba752f86757de6628e833f4fdf4c625f480056e93b919172e9c309448b80 18e96d94089086848a0569a1e1d8051da0f6f444e9e4cd111cadcf94c4693653 5 4df3fdc | SHA256 SHA1MD5 | Ekran Görüntüsü Ürün Fotoğrafı Sample.bat |
| 3f7bd47fbbf1fb0a63ba955c8f9139d6500b6737e5baf5fdb783f0cedae94d6d eed59a282588778ffbc772085b03d229a5d99e35669e7ac187fb57c4d90b07d9a6bb 1 d42 | SHA256 SHA1MD5 | Python hırsızı (libb1.py) |
| 9d048e99bed4ced4f37d91a29763257a1592adb2bc8e17a66fa07a922a0537d0 93d70f02b2ee2c4c2cd8262011ed21317c7d92def23465088d26e90514b56619360 1 6c05 | SHA256 SHA1MD5 | ürün-_img_2023-12_86-13a30f_13373.rar |
| bc3993769a5f82e454acef92dc2362c43bf7d6b6b203db7db8803faa996229aa cf019e96e16fdaa504b29075aded36be27691956c3a447c5c6c73d80490347c1b4a fe9d5 | SHA256 SHA1MD5 | resim – photo_product _2023-12_86-13a30ff503fd6638c5863dta.bat |