adlı yeni bir bilgi çalan kötü amaçlı yazılım Mistik Hırsız yaklaşık 40 farklı web tarayıcısından ve 70’in üzerinde web tarayıcı uzantısından veri çaldığı tespit edildi.
İlk olarak 25 Nisan 2023’te ayda 150 ABD doları karşılığında reklamı yapılan kötü amaçlı yazılım, kripto para cüzdanlarını, Steam ve Telegram’ı da hedefler ve analize direnmek için kapsamlı mekanizmalar kullanır.
InQuest ve Zscaler araştırmacıları geçen hafta yayınlanan bir analizde, “Kod, polimorfik dize gizleme, karma tabanlı içe aktarma çözünürlüğü ve sabitlerin çalışma zamanı hesaplaması kullanılarak büyük ölçüde gizlenmiştir.”
Mystic Stealer, satışa sunulan diğer birçok suç yazılımı çözümü gibi, veri çalmaya odaklanır ve C programlama dilinde uygulanır. Kontrol paneli Python kullanılarak geliştirilmiştir.
Mayıs 2023’te kötü amaçlı yazılıma yönelik güncellemeler, bir komut ve kontrol (C2) sunucusundan getirilen sonraki aşama yüklerini alıp yürütmesine izin veren bir yükleyici bileşeni içeriyor ve bu da onu daha çetin bir tehdit haline getiriyor.
C2 iletişimleri, TCP üzerinden özel bir ikili protokol kullanılarak sağlanır. Bugüne kadar 50 kadar çalışır durumda C2 sunucusu tanımlanmıştır. Kontrol paneli, hırsızın alıcılarının veri günlüklerine ve diğer yapılandırmalara erişmesi için arayüz görevi görür.
Mystic’in eşzamanlı bir analizini yayınlayan siber güvenlik firması Cyfirma, özel bir Telegram kanalı aracılığıyla “ürünün yazarı, hırsızda ek iyileştirmeler için önerileri açıkça davet ediyor” dedi ve bu, siber suçlu topluluğunu mahkemeye çıkarmak için aktif çabalara işaret ediyor.
Araştırmacılar, “Mystic Stealer’ın geliştiricisinin, anti-analiz ve savunmadan kaçmaya odaklanmaya çalışırken, kötü amaçlı yazılım alanındaki mevcut eğilimlerle aynı seviyede bir hırsız üretmeye çalıştığı açık görünüyor” dedi.
Bulgular, bilgi hırsızlarının, hedef ortamlara ilk erişimi sağlamak için kimlik bilgilerinin toplanmasını kolaylaştırarak genellikle haberci olarak hizmet ederek, yeraltı ekonomisinde sıcak bir meta olarak ortaya çıkmasıyla ortaya çıktı.
Başka bir deyişle, hırsızlar, diğer siber suçlular tarafından fidye yazılımı ve veri gaspı unsurları kullanan mali amaçlı kampanyalar başlatmak için bir temel olarak kullanılır.
Popülaritedeki artışa rağmen, kullanıma hazır hırsız kötü amaçlı yazılımları daha geniş bir kitleye hitap etmek için uygun fiyatlarla pazarlanmıyor, aynı zamanda radarın altından uçmak için gelişmiş teknikler paketleyerek daha ölümcül hale geliyorlar.
Hırsız evreninin sürekli gelişen ve değişken doğası en iyi şekilde, son aylarda Album Stealer, Bandit Stealer, Devopt, Fractureiser ve Rhadamanthys gibi yeni türlerin sürekli olarak tanıtılmasıyla örneklendirilebilir.
Tehdit aktörünün tespitten kaçma girişimlerinin bir başka işareti olarak, AceCryptor, ScrubCrypt (aka BatCloak) ve Snip3 gibi şifreleyiciler içinde paketlenmiş bilgi hırsızları ve uzaktan erişim truva atları gözlemlendi.
Geliştirme ayrıca, HP Wolf Security’nin Google Chrome’a kötü amaçlı bir uzantı yüklemek ve hassas verileri çalmak, aramaları yeniden yönlendirmek ve bir kurbanın tarayıcı oturumuna reklam enjekte etmek için tasarlanmış Şampuan kod adlı Mart 2023 ChromeLoader kampanyasını ayrıntılı olarak açıklamasıyla birlikte gelir.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlama
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Oturuma Katılın
Güvenlik araştırmacısı Jack Royer, “Kullanıcılar kötü amaçlı yazılımla çoğunlukla filmler (Cocaine Bear.vbs), video oyunları veya diğer yasa dışı içerikleri indirirken karşılaştı” dedi. “Bu web siteleri, kurbanları bilgisayarlarında enfeksiyon zincirini tetikleyen kötü amaçlı bir VBScript çalıştırmaları için kandırıyor.”
VBScript daha sonra, “–load-extension” komut satırı argümanını kullanarak mevcut tüm Chrome pencerelerini sonlandırabilen ve paketlenmemiş hileli uzantıyla yeni bir oturum açabilen PowerShell kodunu başlatmaya devam eder.
Ayrıca, keyfi komutları yürütme ve Cobalt Strike gibi bir C2 sunucusu tarafından sağlanan yükleri enjekte etme yeteneğine sahip olan ve adı Pikabot olan yeni bir modüler kötü amaçlı yazılım truva atının keşfini takip eder.
2023’ün başından beri aktif olan implantın, iki aileyi birbirine bağlayan kesin bir kanıt olmamasına rağmen, dağıtım yöntemleri, kampanyalar ve kötü amaçlı yazılım davranışları açısından QBot ile benzerlikler paylaştığı bulundu.
Zscaler, “Pikabot, kapsamlı bir anti-analiz teknikleri uygulayan ve kabuk kodu yüklemek ve rasgele ikinci aşama ikili dosyaları yürütmek için ortak arka kapı yetenekleri sunan yeni bir kötü amaçlı yazılım ailesidir” dedi.