Windows’tan veri çalmak için telgraf üzerinden satış satan gelişmiş bir stealer kötü amaçlı yazılım

   Mart 31, 2025  Posted in CyberSecurityNews


DarkCloud - Windows'tan veri çalmak için telgraf aracılığıyla satış satan gelişmiş bir stealer kötü amaçlı yazılım

DarkCloud, 2022’de ortaya çıkan ve kendisini kategorisindeki en yaygın tehditlerden biri olarak konumlandıran sofistike bir stealer kötü amaçlı yazılımdır.

Bu Windows-hedefleme kötü amaçlı yazılımları, tarayıcı verileri, FTP kimlik bilgileri, ekran görüntüleri, tuş vuruşları ve enfekte sistemlerden finansal bilgiler dahil olmak üzere hassas bilgileri çıkarmak için önemli ölçüde gelişmiştir.

Birincil dağıtım yöntemi, saldırganların meşru şirketleri taklit ettiği veya saldırılarını ödeme makbuzları veya para cezaları olarak gizledikleri kimlik avı kampanyalarını içermektedir.

Bu saldırılar sıklıkla İK departmanlarını hedefler. Ek vektörler arasında kötüverizasyon, sulama deliği saldırıları ve dbatloader veya clipbanker gibi diğer kötü amaçlı yazılımların yanında dağıtım bulunur.

Güvenlik araştırmacısı RexorVC0, kötü amaçlı yazılımın tespitten kaçınmak için tasarlanmış çok aşamalı bir enfeksiyon süreci kullandığını belirterek DarkCloud’un kapsamlı yeteneklerini tanımladı.

DarkCloud (Kaynak – Rexorvc0)

Rexorvc0, teknik analizlerinde, “Bu çalmanın yürütülmesi ve dağılımı, saldırganların çeşitli şirketleri taklit ettiği kimlik avı kampanyaları tarafından yönlendirildi.

Etki önemli olmuştur, çok sayıda kuruluş veri hırsızlığı yeteneklerine kurban, tarayıcı verilerini kaybetmek, kripto para birimi cüzdanları ve telgraf kanalları aracılığıyla çalışan saldırganlara kimlik bilgileri.

Enfeksiyon mekanizması

DarkCloud’un enfeksiyon zinciri, bir kurban kötü niyetli bir bağlantıya eriştiğinde veya enfekte olmuş bir dosyayı indirdiğinde başlar.

Saldırı Zinciri (Kaynak – Rexorvc0)

Genellikle sıkıştırılmış dosyalar veya komut dosyaları olarak teslim edilen ilk yük, güvenlik kontrollerini atlamak için tasarlanmış çok aşamalı bir işlemi başlatır.

Yükleyici, genellikle sofistike gizleme teknikleri kullanan bir sonraki aşamayı indirir veya çıkarır. Analiz edilen bir numune, Tripledes Şifreleme ile Kodlama Kullanılan Base64 kullanıldı:-

rgbKey = bytes([0x39, 0x1C, 0x8A, 0x9E, 0x80, 0xC2, 0xF8, 0xDF])
rgbIV = bytes([0xA3, 0x4B, 0x1F, 0xEB, 0x28, 0xFE, 0x46, 0xEA])

Son aşama, Stealer’ın svchost.exe veya msbuild gibi meşru pencereler süreçlerine enjekte edilmesini içerir.

Bu teknik, DarkCloud’un gizli çalışmasına izin verir, tarayıcılardan, şifre yöneticilerinden ve e -posta istemcilerinden duyarlı veri toplarken, telgraf botları aracılığıyla eklenmesi için çoğu güvenlik çözümünden kaçınır.

Are You from SOC/DFIR Team? - Try Free Malware Research with ANY.RUN - Start Now



Source link