“Hannibal Stealer” olarak adlandırılan yeni tanımlanmış bir kötü amaçlı yazılım parçası, modern tespit sistemlerini atlamak için tasarlanmış gelişmiş gizli mekanizmalar ve gizleme teknikleri nedeniyle önemli bir siber güvenlik tehdidi olarak ortaya çıktı.
Bu modüler .NET info-stealer ve kimlik bilgisi hasatçı, tarayıcılardan, kripto para cüzdanlarından ve Discord, Steam ve Filezilla gibi popüler uygulamalardan hassas verileri çıkarmak için derin entegrasyon gösterir.
Sofistike enfeksiyon süreçleri, DLL enjeksiyonu gibi süreç enjeksiyon teknikleri ve telgraf yoluyla aktif komuta ve kontrol (C2) iletişimi ile gizli çalışabilme yeteneği, onu hem bireysel kullanıcılar hem de kuruluşlar için zorlu bir düşman haline getirir.
.png
)
Hassas verileri hedefleyen sofistike tehdit
Hannibal Stealer, verileri sistematik olarak güçlendirirken tespit edilmeyen bir dizi taktik kullanır.
Güvenilir tarayıcı bileşenlerini taklit etmek, gündelik muayeneden ve kötü yapılandırılmış güvenlik araçlarından kaçınmak için Cefsharp.BrowsersubProcess.dll gibi meşru görünümlü DLL’ler kullanır.
Analiz, gömülü yüklerin çözülmesi için bcrypt.dll gibi birden fazla Windows API’lerinin, ağ keşifleri için iPhlpapi.dll ve yürütülebilir bellek tahsis etmek ve operasyonlarını gizlemek için kötü niyetli niyetinin göstergesi olan bellek manipülasyonu ve enjeksiyonu için çekirdek32.dll kullanımını ortaya koymaktadır.
Ek olarak, Stealer, Windows Cryptography API’si aracılığıyla AES-GCM şifrelemesini kullanan dahili bir şifrelemeye sahiptir ve yüklerinin çalışma zamanına kadar gizlenmesini sağlar.
Asenkron yöntemleri, Chrome, Edge ve Firefox gibi popüler platformlardan verimli veri çıkarmayı özel tarayıcı türleri-krom ve Geccoup’a vermeyi hedefler.
Kaçma için gelişmiş teknikler
Tarayıcı verilerinin ötesinde, kötü amaçlı yazılım, kullanıcı dizinlerinden saldırgan belirtilen konumlara kritik dosyaları kopyalayarak Bitcoin Core, Ethereum ve atom cüzdanı gibi kripto para cüzdanlarını agresif bir şekilde hedefler.
Ayrıca, kopyalanan kripto para birimi cüzdan adreslerini, saldırgan tarafından kontrol edilenlerle değiştirerek, işlemleri kötü niyetli varlıklara yönlendiren pano kaçırma kullanır.
Ağ numaralandırma ve sistem parmak izi, coğrafi konum için veya operasyonları belirli ortamlarla sınırlamak için kullanılabilen MAC adresleri ve varsayılan ağ geçidi IP’leri ile gerçekleştirilir.
Ayrıca, stealer, Cyberghost ve NordvPN gibi VPN yapılandırmalarından verileri ve Filezilla gibi araçlardan FTP kimlik bilgilerini, kullanıcı gizliliği ve güvenliğini tehlikeye atmak için geniş kapsamlı niyetini sergiliyor.
Hannibal Stealer’ı özellikle endişe verici kılan şey, sistem belirli BDI ülkelerinde tespit edilirse, yerel yetkililerden incelemeden kaçınması için yürütmeyi durduran coğrafi işleme yeteneğidir.
Veri eksfiltrasyon taktikleri eşit derecede sofistike, çalınan bilgiler telgraf botları ve http://45.61.141.160:8001/uploads/atrvw7 gibi anonimlik ve kalıcılık gibi özel sunucular aracılığıyla huni.
Kötü amaçlı yazılım ayrıca, C2 sunucularına iletim için biçimlendirilmiş sistem bilgileri, şifre ve cüzdan içeriklerinin ayrıntılı günlüklerini oluşturur.
Ekran yakalama, dinamik API çözünürlüğü ve çalışma zamanı gizlemesi gibi teknikler statik analizi ve imzaya dayalı tespiti daha da karmaşıklaştırarak kötü amaçlı yazılımların inceleme altında bile uyum sağlayabilmesini ve devam edebilmesini sağlar.
Hannibal Stealer, hasarı en üst düzeye çıkarmak için gizli, modüler tasarım ve hedeflenen veri hırsızlığından yararlanan oldukça gelişmiş bir tehdidi temsil eder.
Sıkışma, kimliğe bürünme ve şifreli iletişim kanalları yoluyla tespitten kaçınma yeteneği, bu tür sofistike kötü amaçlı yazılımların ortaya koyduğu riskleri azaltmak için ileri uç nokta koruması, davranışsal analiz ve kullanıcı farkındalığına acil ihtiyacın altını çizmektedir.
Siber güvenlik uzmanları, bu sinsi tehdit oyuncusu taktiklerine karşı koymak için savunmaları güncelleyerek uyanık kalmalıdır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!