
Geleneksel algılama mekanizmalarından kaçarken kötü amaçlı yükleri dağıtmak için Node.js Tek Çalıştırılabilir Uygulama (SEA) özelliklerinden yararlanan, Windows sistemlerini hedef alan yeni ve gelişmiş bir kötü amaçlı yazılım kampanyası ortaya çıktı.
Stealit kötü amaçlı yazılımı, kötü amaçlı yazılım hizmet olarak operasyonlarında önemli bir evrimi temsil ediyor ve gelişmiş gizleme tekniklerini kapsamlı anti-analiz yetenekleriyle birleştirerek virüslü sistemler üzerinde kalıcı kontrol sağlıyor.
Kampanyanın, Mediafire ve Discord gibi dosya paylaşım platformları aracılığıyla oyunlar ve VPN uygulamaları da dahil olmak üzere popüler yazılımlar için gizli yükleyiciler dağıttığı gözlemlendi.
Bu kötü amaçlı paketler, gerçek doğalarını gizlemek için PyInstaller paketlemesini ve sıkıştırılmış arşivleri kullanır ve bu da kullanıcılar ve güvenlik çözümleri için ilk tespitini zorlaştırır.
.webp)
Kötü amaçlı yazılımın operatörleri; abonelik fiyatlandırma modelleri, promosyon kanalları ve müşteri destek hizmetleriyle tamamlanmış bir ticari altyapı oluşturdu.
.webp)
Fortinet analistleri bu aktif kampanyayı, kalıcılık mekanizmaları için kullanılan Visual Basic komut dosyalarının tespitindeki ani artış sonrasında tespit etti.
Tehdit, Electron çerçevelerine dayanan daha önceki Stealit varyantlarından bir sapmayı temsil ediyor; artık önceden yüklenmiş Node.js çalışma zamanları veya ek bağımlılıklar gerektirmeden yürütülen bağımsız ikili dosyalar oluşturmak için Node.js yerel SEA işlevselliğini benimsiyor.
Kötü amaçlı yazılım, sanal ortamları, hata ayıklama araçlarını ve analiz platformlarını hedef alan birden fazla algılama katmanı aracılığıyla gelişmiş saldırı yetenekleri sergiliyor.
.webp)
Bu anti-analiz kontrolleri, potansiyel araştırma ortamlarını belirlemek için bellek tahsisi, CPU çekirdek sayıları ve ana bilgisayar adı modelleri dahil olmak üzere sistem özelliklerini inceler.
Kampanya operatörleri, iloveanimals gibi alanlar aracılığıyla aktif bir komuta ve kontrol altyapısını sürdürüyor[.]Güvenliği ihlal edilmiş sistemler için merkezi yönetim sağlayan mağaza.
Teknik Uygulama ve Yürütme Akışı
Stealit kötü amaçlı yazılımı, komut ve kontrol sunucularından ek modüller indiren bir yükleyici bileşeniyle başlayan çok katmanlı bir mimari kullanıyor.
İlk veri, kötü amaçlı komut dosyalarını görünüşte yasal yürütülebilir dosyalara yerleştirmek için Node.js SEA işlevini kullanır; çekirdek komut dosyası, hem yürütme kodunu hem de orijinal geliştirme yollarını içeren ham veri kaynağı NODE_SEA_BLOB olarak depolanır.
Yükleyici, sistem kaynağı doğrulama yoluyla sanal ortam tespiti, matematiksel işlemler için zamanlama analizi ve hata ayıklama uygulamalarını tanımlamak için süreç numaralandırma dahil olmak üzere kapsamlı anti-analiz önlemlerini uygular.
Kayıt defteri kontrolleri, hata ayıklayıcı yapılandırmaları için HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug gibi konumları incelerken, DLL enjeksiyon analizi, analizle ilgili kitaplıklar için yüklü modülleri inceler.
Başarılı ortam doğrulamasının ardından, kötü amaçlı yazılım, Windows başlangıç klasörlerine yerleştirilen Visual Basic komut dosyaları ve dizinleri Windows Defender taramasının dışında bırakmak için PowerShell komutları dahil olmak üzere birden fazla mekanizma aracılığıyla kalıcılık sağlar.
Sistem üç temel bileşeni indirir: ayrıcalıklı işlemler için save_data.exe, veri çıkarma için stats_db.exe ve komut ve kontrol iletişimi için game_cache.exe.
save_data bileşeni, Chromium tarayıcılarından bilgi ayıklamak için ChromElevator tabanlı araçları dağıtırken, stats_db.exe, Steam ve Minecraft gibi oyun platformları, WhatsApp ve Telegram gibi mesajlaşma hizmetleri ve Atomic ve Exodus gibi kripto para birimi cüzdanları dahil olmak üzere kapsamlı uygulama kategorilerini hedefler.
Game_cache modülü, ekran yakalama, web kamerası erişimi, dosya işleme ve komut yürütme yetenekleri dahil olmak üzere uzaktan erişim truva atı işlevlerini yönetir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.