Siber güvenlik ortamında, kötü niyetli niyetleri maskelemek için yasal araçlardan yararlanan karmaşık kötü amaçlı yazılımların yükselişine tanık oluyoruz. Bunun başlıca örneği VVS Stealer’dır (aynı zamanda VVS $tealer olarak da adlandırılır).
Bu Python tabanlı kötü amaçlı yazılım ailesi, Nisan 2025’ten bu yana Telegram’da aktif olarak pazarlanıyor. Bu tehdit, hassas kimlik bilgilerini, belirteçleri ve tarayıcı verilerini sızdırmak için açıkça Discord kullanıcılarını hedefliyor.
VVS Stealer’ın önemli bir özelliği, Python komut dosyalarını gizlemeye yönelik bir komut satırı aracı olan PyArmor’u kullanmasıdır.
Geliştiriciler fikri mülkiyeti korumak için PyArmor’u kullanırken, tehdit aktörleri de statik analiz ve imza tabanlı algılama gibi geleneksel güvenlik kontrollerini etkili bir şekilde atlayarak kötü amaçlı yazılım kodunu gizlemek için bundan yararlanıyor.
Bu makale, VVS Stealer’ın teknik mekanizmalarını ve onu analiz etmek için gereken kod gizleme sürecini incelemektedir.
Kötü Amaçlı Yazılım Kaçırmasında PyArmor’un Rolü
Kötü amaçlı yazılım yazarları, kullanım kolaylığı nedeniyle Python’u giderek daha fazla tercih ediyor, ancak PaloAlto Networks tarafından bildirildiği üzere ham Python kodu, güvenlik analistleri tarafından kolayca okunabiliyor.
Buna karşı koymak için VVS Stealer, yükünü şifrelemek için PyArmor’u (özellikle 9.1.4 Pro sürümünü) kullanıyor.
PyArmor kötü amaçlı yazılımı çeşitli şekillerde dönüştürür:
- Bayt Kodu Şifrelemesi: Standart Python kodunu, standart kod çözücülerin okuyamayacağı özel, şifrelenmiş bir biçime dönüştürür.
- BCC Modu: Python işlevlerini C işlevlerine dönüştürür ve bunlar daha sonra makine talimatları halinde derlenir. Bu, mantığı ayrı bir ELF (Yürütülebilir ve Bağlanabilir Format) dosyasında etkili bir şekilde gizleyerek tersine mühendisliği önemli ölçüde zorlaştırır.
- AES Şifreleme: Kötü amaçlı yazılım, dizeleri ve bayt kodunu şifrelemek için Sayaç (CTR) modunda 128 bitlik bir anahtarla Gelişmiş Şifreleme Standardı’nı (AES) kullanır. Bu, analistlerin kötü amaçlı yazılımın davranışını anlamak için yalnızca metin dizelerini (komut ve kontrol URL’leri gibi) okumasını engeller.
VVS Stealer’ı analiz etmek, bu koruyucu katmanları ortadan kaldırmak için çok adımlı bir süreç gerektirir.
Güvenlik araştırmacılarının, şifrelenmiş Python bayt kodunu ve PyArmor çalışma zamanı kitaplığını bulmak için öncelikle yükü PyInstaller paketinden çıkarması gerekir.
Analistler, PyArmor şifreleme anahtarlarına (genellikle çalışma zamanı DLL’sinde bulunur) tersine mühendislik uygulayarak ve Python bayt kodu başlıklarını geri yükleyerek, kodu tekrar insan tarafından okunabilir bir formata dönüştürebilir.
Bu süreç, kötü amaçlı yazılımın temel mantığını ortaya çıkararak, daha önce kriptografik engellerin arkasında gizlenmiş olan yetenekleri ortaya çıkarır.
Kötü Amaçlı Yazılım Yetenekleri
Gizleme kaldırıldığında, VVS Stealer bir dizi agresif bilgi çalma özelliğini ortaya çıkarır:
- Discord Token Hırsızlığı: Kötü amaçlı yazılım, yerel dosyaları (.ldb ve .log) şifrelenmiş Discord belirteçleri için tarar, Windows DPAPI (Veri Koruma API’si) kullanarak bunların şifresini çözer ve ödeme yöntemleri, arkadaş listeleri ve telefon numaraları gibi kullanıcı ayrıntılarını toplamak için Discord’un API’sini sorgular.
- Oturum Enjeksiyonu: Çalışan Discord işlemlerini öldürür ve uygulamaya kötü amaçlı JavaScript (standart JS araçlarıyla gizlenmiş) enjekte eder. Bu, saldırganın aktif oturumlara müdahale etmesine, ağ trafiğini izlemesine, şifre değişikliklerini yakalamasına veya yedek kodu görüntülemesine olanak tanır.
- Tarayıcı Veri Çıkarma: VVS Stealer, çerezleri, geçmişi ve otomatik doldurma şifrelerini çalmak için yaklaşık 20 farklı web tarayıcısını (Chrome, Edge ve Opera dahil) hedefler.
- Kalıcılık: Kötü amaçlı yazılım kendisini Windows Başlangıç klasörüne kopyalayarak kurbanın bilgisayarını her başlattığında çalışmasını sağlar. Ayrıca kurulum sırasında kullanıcının dikkatini dağıtmak için sahte bir “Önemli Hata” mesaj kutusu görüntüler.
VVS Stealer, tehdit aktörlerinin gizli, etkili kötü amaçlı yazılımlar oluşturmak için PyArmor gibi meşru koruma araçlarını nasıl silah haline getirdiğini gösteriyor.
Tersine mühendislik sürecini karmaşıklaştırarak güvenlik satıcılarının algılama geliştirmesi için gereken süreyi artırırlar.
Kuruluşlar, bu gizlenmiş tehditlere karşı savunma yapmak için yalnızca statik imzalara güvenmek yerine, gelişmiş davranış analizine ve uç nokta korumasına güvenmelidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
