ObserverStealer’ın AsukaStealer olarak bilinen güncellenmiş bir sürümünün, masaüstü ekran görüntülerinden, Steam Desktop Authenticator uygulamasından, FileZilla oturumlarından, Telegram oturumlarından, Discord belirteçlerinden, tarayıcı uzantılarından veri toplayabilen bir hizmet olarak kötü amaçlı yazılım olarak tanıtıldığı gözlemlendi. kripto para cüzdanları.
Bu yıl, Rusça dilinde düzenlenen bir forumda tehdit aktörü, AsukaStealer’ın bir MaaS (Hizmet Olarak Kötü Amaçlı Yazılım) olarak reklamını yaptı ve hedeflerden gizli verileri çalmayı amaçlayan kapsamlı bir özellik listesi sundu.
AsukaStealer kötü amaçlı yazılımı C++ ile yazılmıştır ve esnek seçeneklere ve web tabanlı bir kontrol paneline sahiptir. Kötü amaçlı yazılım yazarları veya geliştiricileri, AsukaStealer ve ObserverStealer’ı barındırmak için aynı C&C altyapısını kullandı.
Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.
Yerinizi Ayırın
AsukaStealer’ın Önemli Özellikleri
Cyble Research & Intelligence Labs (CRIL), 2 Şubat 2024’te “AsukaStealer” olarak bilinen bir hizmet olarak kötü amaçlı yazılım (MaaS) keşfetti.
Kötü amaçlı yazılım, Rusça dilindeki bir siber suç forumunda satıldı ve web panelinin 0.9.7 sürümü aylık 80 ABD doları karşılığında satışa sunuldu.
24 Ocak 2024’te AsukaStealer, başka bir ünlü Rus forumunda alternatif bir takma adla pazarlandı.
Hırsızın bazı dikkate değer özellikleri vardı:
Fonksiyonel özellikler:
- Yerel şekillendirici C++ ile yazılmıştır ve 280 kb’dir.
- Chromium (Edge, Google, OperaGX) ve Gecko (Firefox, Waterfox) motorlarındaki tarayıcı verilerini (Çerezler, Şifreler, AccountsSync, Uzantılar) toplar.
- Discord jetonlarını toplar.
- FileZilla oturumlarını toplar (FileGrabber|Standart yapılandırma).
- Telegram oturumlarını toplar (ProcessGrabber|FileGrabber|Standart yapılandırma).
- Steam’i oluşturur (Standart yapılandırma).
- Günlüğü (Yükleyici) topladıktan sonra dosya yükleme işlevi vardır.
- Özel proxy’ler yükleme yeteneği.
- Günlükleri telgrafa gönderme yeteneği.
- Masaüstünden bir ekran görüntüsü toplar.
- maFiles’ı Steam Desktop Authenticator uygulamasından toplama (ProcessGrabber|Standart yapılandırma).
- Kopyalamayı önleyen bir sistem.
Yapılandırma kurulumu:
- Özelleştirilebilir tarayıcı listesi [Chromium, Gecko].
- Özelleştirilebilir FileGrabber/kripto cüzdan dosyaları.
- Özelleştirilebilir uzantı listesi.
- Özelleştirilebilir ProcessGrabber.
- Özelleştirilebilir Yükleyici.
- Özelleştirilebilir Discord istemcileri.
Araştırmacılar tarafından “5.42.66.25” IP adresiyle etkileşime giren birden fazla dosya keşfedildi; VirusTotal bu dosyaları ObserverStealer olarak tanımlamış ve işaretlemişti.
AsukaStealer ve ObserverStealer’ın C&C panelleri oldukça benzer özelliklere sahiptir.
AsukaStealer MaaS’in destekçileri, araştırmacıların Temmuz 2023’teki çalışma sırasında fark ettiği ObserverStealer için MaaS faaliyetlerinin sonlandırıldığını da duyurdu.
Bu, her iki hırsız kötü amaçlı yazılımı da aynı tehdit aktörlerinin oluşturduğunu ve yönettiğini gösteriyor.
Bu tehdit özellikle Symantec tarafından Dosya tabanlı (Infostealer Trojan.Gen.MBT), Makine Öğrenimi tabanlı (Heur.AdvML.B) ve Web tabanlı olarak sınıflandırıldı.
WebPulse’ın etkin olduğu tüm ürünler, güvenlik kategorileri altında gözlemlenen etki alanlarını ve IP’leri kapsıyordu.
“Kötü amaçlı yazılım geliştirme konusunda yetkin ve oldukça büyük bir C&C altyapısı barındırabilen tehdit aktörleri, yeraltı topluluklarının ihtiyaçlarını karşılamak ve kısa sürede kar elde etmek için hizmet olarak kötü amaçlı yazılım (MaaS) sunma fırsatlarını yakalamaya devam ediyor”, araştırmacılar söyledi.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.