Siber güvenlik manzarasında sofistike yeni bir Python tabanlı bilgi çalma ortaya çıktı ve anlaşmazlık kanalları aracılığıyla veri açığa çıkması için gelişmiş yetenekler gösterdi.
“Inf0S3C Stealer” olarak tanımlanan kötü amaçlı yazılım, veri hırsızlığı araçlarında önemli bir evrimi temsil ederek, tehlikeli Windows sistemlerinden hassas bilgileri etkili bir şekilde toplarken, geleneksel sistem keşif tekniklerini modern iletişim platformlarıyla birleştirir.
Kötü amaçlı yazılım, enfekte makinelerden ana bilgisayar tanımlayıcıları, CPU bilgileri, ağ yapılandırmaları ve kullanıcı verilerini sistematik olarak toplamak için tasarlanmış kapsamlı bir kapıcı olarak çalışır.
.webp)
Yürütme üzerine, kurbanın ortamının ayrıntılı bir profilini oluşturarak kapsamlı sistem ayrıntıları toplamak için komut istemi aracılığıyla sessizce birden fazla PowerShell komutunu çağırır.
Stealer, uyumsuzluk hesapları, tarayıcı kimlik bilgileri, çerezler, tarama geçmişi, kripto para cüzdanları, Wi-Fi şifreleri ve Steam, Epic oyunları ve minecraft gibi popüler hizmetlerden oyun platformu oturumları gibi çok çeşitli hassas bilgileri hedefler.
Cyfirma araştırmacıları, kötü amaçlı yazılımın, tespitten kaçınmak için hem UPX sıkıştırma hem de pyinstaller demetlenmesini kullanarak sofistike ambalaj ve gizleme teknikleri gösterdiğini belirlediler.
6.8MB yürütülebilir, 8.000 yüksek entropi değerini korur, bu da gerçek işlevselliğini statik analiz araçlarından gizleyen ağır paketlemeyi gösterir.
Yürütme sırasında, kötü amaçlı yazılım, Windows % Temp % klasörü içinde geçici dizinler oluşturur ve çalınan verileri şifre korumalı arşivlere derlemeden önce “kimlik bilgileri”, “dizinler” ve “sistem” gibi kategorize alt dizinler halinde sistematik olarak düzenler.
Stealer’ın birincil inovasyonu, “Boş Grabber” etiketli sıkıştırılmış RAR arşivleri olarak toplanan verileri ilettiği, otomatik pesfiltrasyon mekanizmasında yatmaktadır.
Bu yaklaşım, kötü niyetli trafiği normal kullanıcı etkinliği ile harmanlamak için meşru iletişim altyapısından yararlanır ve ağ izleme sistemleri tarafından algılama olasılığını önemli ölçüde azaltır.
Gelişmiş kalıcılık ve kaçınma mekanizmaları
INF0S3C Stealer, uzun süreli sistem uzlaşmasını sağlayan sofistike kalıcılık taktikleri kullanır.
Kötü amaçlı yazılım, bir ekran koruyucu dosyası olarak görünmek için .SCR uzantısı ile gizlenmiş Windows başlangıç klasörüne kopyalar.
.webp)
Bu teknik, PutInStartup() Sistem çapında başlangıç dizini hedefleyen işlev:-
def PutInStartup() -> str:
STARTUPDIR = "C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp"
file, isExecutable = Utility.GetS```()
if isExecutable:
out = os.path.join(STARTUPDIR, "{}.scr".format(Utility.GetRandomString(invisible=True)))
os.makedirs(STARTUPDIR, exist_ok=True)
try: shutil.copy(file, out)
except Exception: return None
return outKötü amaçlı yazılım, anti-VM kontrolleri ve antivirüs ile ilgili web sitelerini engelleme yeteneği dahil olmak üzere birden fazla anti-analiz özelliği içerir.
Minimum adli izler bırakarak “eriyik” bir işlev yoluyla yürütüldükten sonra kendi kendine aşınma gerçekleştirebilir.
Ek olarak, stealer, dosya boyutunu yapay olarak şişirmek için tasarlanmış bir “Pompa saplaması” özelliği içerir ve potansiyel olarak güvenlik çözümleri tarafından kullanılan boyut tabanlı algılama sezgiselliklerini atlar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.