Son istihbaratlar, hırsızların kurbanları kandırarak kimlik bilgilerini doğrudan tarayıcıya girmeleri için kandırmak amacıyla yeni bir teknik kullandıklarını ve bunun sonucunda tarayıcının kimlik bilgisi deposundan hırsızlık yapılabildiğini gösteriyor.
StealC kötü amaçlı yazılımıyla birlikte kullanılan bu yöntem, ilk olarak Ağustos 2024’te gözlemlendi ve öncelikli olarak Amadey tarafından kullanılıyor.
Bu teknik, kurbanları, geleneksel tarayıcı güvenlik önlemlerini atlatarak kimlik bilgilerini ele geçirmek üzere tasarlanmış kötü amaçlı web içeriğiyle etkileşime girmeye zorlamayı içeriyor ve bu da tarayıcının kimlik bilgisi veritabanında saklanan hassas bilgilere doğrudan erişime olanak tanıdığı için önemli bir güvenlik riski oluşturuyor.
Benzersiz karma değerleriyle tanımlanan sağlanan örnekler, UnpacMe aracı kullanılarak analiz edilmiş kötü amaçlı yazılım örnekleridir ve farklı karma değerleriyle gösterildiği gibi muhtemelen kötü amaçlı yazılımın farklı varyantlarını veya ailelerini temsil etmektedir.
UnpacMe, güvenlik araştırmacılarının kötü amaçlı yazılımların davranışları, teknikleri ve potansiyel hedefleri hakkında bilgi edinmelerini sağlayan kötü amaçlı yazılımları açığa çıkarmak ve analiz etmek için tasarlanmış bir araçtır.
Araştırmacılar bu örnekleri analiz ederek kötü amaçlı yazılım ortamındaki ortak kalıpları, eğilimleri ve ortaya çıkan tehditleri belirleyebilirler.
Saldırı, kurbanın tarayıcısını kiosk moduna sokmayı ve onu bir oturum açma sayfasına yönlendirmeyi içeriyor. Bu sayede kurbanın tarayıcıyı kapatması veya başka bir yere gitmesi engelleniyor, bu da hayal kırıklığına ve potansiyel olarak kimlik bilgilerinin girilmesine yol açıyor.
Girilen kimlik bilgileri cihazda yerel olarak saklanır.
Genellikle kimlik bilgisi temizleyicisiyle birlikte dağıtılan hırsız kötü amaçlı yazılımlar, saklanan bu kimlik bilgilerini kötü amaçlı amaçlar için çalabilir.
Saldırı zinciri, Amadey zararlı yazılımının kurbanın cihazına bulaşmasıyla başlıyor ve ardından uzak bir sunucudan StealC ve Credential Flusher’ı yüklüyor.
Credential Flusher, kurbanın tarayıcıyı kiosk modunda başlatarak kimlik bilgilerini girmesini zorlarken, StealC ise bu kimlik bilgilerini çalıyor.
Tüm süreç, mağdurun sistemindeki açıkları istismar edip hassas bilgileri elde etmek için tasarlanmıştır.
Bir AutoIt betiği, ilk önce tehlikeye atılan sistemdeki kullanılabilir tarayıcıları kontrol eden, ardından tercih edilen tarayıcıyı kiosk modunda başlatarak kullanıcı eylemlerini kısıtlayan ve son olarak tarayıcıyı kimlik bilgilerini çalmak için tasarlanmış önceden tanımlanmış bir web sitesine yönlendiren bir kimlik bilgisi temizleyicisi gibi davranır.
Verilen örnekte, kurbanı kimlik bilgilerini girmeye kandırarak hesap ayarları gibi gizlenmiş bir Google oturum açma sayfasına yönlendiriyor ve ardından ayrı bir kötü amaçlı yazılım bileşeni bu kimlik bilgilerini çalabiliyor.
OALABS Research’e göre, söz konusu betik, öncelikle Chrome, Mozilla Firefox veya Internet Explorer’a ait açık tüm web tarayıcı pencerelerini kapattığı için kimlik bilgilerini çalmak amacıyla kullanılıyor.
Daha sonra Microsoft Edge, Google Chrome veya Brave tarayıcısının varlığını kontrol eder ve kiosk modunda yeni bir tarayıcı penceresi başlatmak için uygun yürütülebilir dosyayı ve pencere sınıfı adını ayarlar.
Komut dosyası, Google hesap ayarlarına bağlı bir URL açar. Tarayıcı penceresini sürekli izler, kullanıcının tarayıcıdan çıkmasını önlemek için Escape ve F11 gibi kısayol tuşlarını devre dışı bırakarak gerektiğinde odaklanmasını sağlar ve potansiyel olarak kullanıcıyı açılan web sayfasına girmesi için kandırarak kimlik bilgilerini çalar.