Yeni Eldiven Hırsızı, Tarayıcılardan Veri Çalmak İçin Uygulamaya Bağlı Şifrelemeyi Atlıyor


Yeni Eldiven Hırsızı, Tarayıcılardan Veri Çalmak İçin Uygulamaya Bağlı Şifrelemeyi Atlıyor

Hırsızlar, öncelikle AV araçları tarafından tespit edilmekten kaçınmak ve kullanıcıdan gizli kalmak için gizli olacak şekilde tasarlanmıştır.

Çok sayıda karmaşık taktiğin birleşimi, hırsızların son derece uyumlu olmasını ve siber güvenlik savunmaları açısından sürekli zorlayıcı olmasını sağlıyor. Tehdit aktörlerinin bile en çok gelişmişliklerinden dolayı hırsızları tercih etmesi yeterli değil.

Hizmet Olarak SIEM

Son kimlik avı kampanyalarında Glove Stealer adlı yeni bir bilgi hırsızlığı yapan kötü amaçlı yazılım keşfedildi.

Bu gelişmiş kötü amaçlı yazılım, kullanıcıları kendi cihazlarına bulaştırmaları için kandırmak amacıyla ClickFix ve FakeCaptcha gibi sosyal mühendislik taktiklerini kullanıyor.

Kimlik avı e-posta eklerinde dağıtılan ClickFix HTML sayfası örneği (Kaynak – Gen Digital)

GenDigital’deki araştırmacılar, genellikle HTML eki içeren bir kimlik avı e-postasıyla başlayan kampanyayı keşfetti.

Bu ek açıldığında, sahte bir hata mesajı görüntüleniyor ve kullanıcılardan kötü amaçlı bir komut dosyasını kopyalayıp yürütmeleri isteniyor. Genellikle var olmayan bir soruna çözüm olarak gizlenen bu komut dosyası, sonuçta Glove Stealer kötü amaçlı yazılımını indirir ve yükler.

Free Ultimate Continuous Security Monitoring Guide - Download Here (PDF)

Eldiven Hırsızı

.NET’te yazılan Glove Stealer, çeşitli kaynaklardan hassas verileri sızdırmak için tasarlanmıştır:

  1. Web tarayıcıları (Chrome, Firefox, Edge, Brave ve diğerleri)
  2. 280 tarayıcı uzantısı
  3. 80’den fazla yerel olarak kurulu uygulama

Kötü amaçlı yazılım, kripto para cüzdanlarını, 2FA kimlik doğrulayıcılarını, şifre yöneticilerini, e-posta istemcilerini ve diğer hassas uygulamaları hedef alıyor.

Glove Stealer’ın en dikkate değer özelliklerinden biri, Google’ın Chrome 127’de sunduğu bir güvenlik önlemi olan Uygulamaya Bağlı Şifrelemeyi atlama yeteneğidir. Kötü amaçlı yazılım bunu yakın zamanda Alexander Hagenah tarafından Ekim 2024’te açıklanan bir yöntem olan IElevator hizmetini kullanarak başarıyor.

Bunun yanı sıra, veri sızdırma işlemi için aşağıdakileri yapar: –

  1. Verilere erişmek için tarayıcı işlemlerini sonlandırır
  2. Çalınan bilgileri özel metin dosyalarında ayrıştırır ve saklar
  3. Cihaz parmak izi verilerini toplar
  4. Çalınan verileri 3DES şifrelemesini kullanarak sıkıştırır ve şifreler
  5. Şifrelenmiş paketi bir komut ve kontrol (C&C) sunucusuna gönderir
Base64 kodlu Glove Stealer bir C&C sunucusunda mevcut (Kaynak – Gen Digital)

Glove Stealer, Uygulamaya Bağlı şifrelemeden kaçınmak için “zagent.exe” adlı destekleyici bir modül kullanırken, bu modül: –

  1. Chrome’un Program Dosyaları dizinine indirilir ve yürütülür
  2. Uygulamaya Bağlı şifreleme anahtarını Chrome’un yerel durum dosyasından alır
  3. Glove Stealer’ın erişmesi için kodu çözülmüş anahtarı ayrı bir dosyada saklar

Bu modülün kullanımı, kötü amaçlı yazılımın karmaşık yaklaşımını vurgulayan yerel yönetici ayrıcalıkları gerektirir.

Glove Stealer, kullanıcı gizliliği ve güvenliği için önemli bir tehdit oluşturuyor. Uygulamaya Bağlı şifrelemeyi atlama ve çok çeşitli hassas veri kaynaklarını hedefleme yeteneği, onu zorlu bir rakip haline getiriyor.

Kullanıcılar, kimlik avı girişimlerine karşı dikkatli olmalı ve algılanan sorunlara çözüm sunuyor gibi görünseler bile bilinmeyen komut dosyalarını çalıştırmaktan veya şüpheli talimatları izlemekten kaçınmalıdır.

IoC’ler

IoC’ler (Kaynak – Gen Digital)

Analyze Unlimited Phishing & Malware with ANY.RUN For Free - 14 Days Free Trial.



Source link