Pas programlama dilinde yazılmış yeni bilgi çalan kötü amaçlı yazılımlar ortaya çıktı ve hem krom tabanlı hem de Gecko tabanlı web tarayıcılarından hassas verileri çıkarmak için gelişmiş yetenekler gösterdi.
Myth Stealer olarak bilinen kötü amaçlı yazılım, siber suçlu taktiklerde önemli bir evrimi temsil eder ve modern programlama tekniklerini kullanıcı kimlik bilgilerini ve finansal bilgileri tehlikeye atmak için geleneksel sosyal mühendislik yöntemleriyle birleştirir.
.webp)
Kötü amaçlı yazılım, Aralık 2024’ün sonundan beri, hileli oyun web siteleri ve telgraf kanallarından oluşan organize bir ağı aracılığıyla aktif olarak dağıtılmıştır.
.png
)
Başlangıçta kullanıcıları çekmek için ücretsiz bir deneme olarak sunulan Myth Stealer, o zamandan beri aboneliğe dayalı bir modele geçti ve siber suçlular kripto para birimi ve razer altın ödemelerini kullanarak haftalık ve aylık erişim satın aldı.
Bu operasyonun arkasındaki tehdit aktörleri, dağıtım, güncellemeler ve hatta müşteri referansları için birden fazla telgraf kanalını korur ve siber suç altyapısına profesyonel bir yaklaşım gösterir.
.webp)
Trellix araştırmacıları, rutin proaktif tehdit avcılık faaliyetleri sırasında tam olarak tespit edilmemiş bu kötü amaçlı yazılım örneğini belirleyerek sofistike mimarisini ve kaçınma yeteneklerini ortaya koydu.
Araştırma ekibi, kötü amaçlı yazılımın Chrome, Firefox, Edge, Opera ve Cesur gibi popüler tarayıcılar ve anlaşmazlık ve küresel olarak kullanılan çeşitli özel tarayıcılar gibi iletişim platformları da dahil olmak üzere geniş bir uygulamaları hedeflediğini keşfetti.
Dağıtım mekanizması büyük ölçüde sosyal mühendisliğe dayanıyor, saldırganlar kötü amaçlı yazılımları meşru oyun yazılımı, hile araçları veya popüler oyunların beta sürümleri olarak gizliyor.
Mağdurlar tipik olarak kötü amaçlı yazılımlarla, şifre korumalı RAR dosyaları aracılığıyla karşılaşır, burada şifre genellikle “beta” veya “alfa” ile eklenmiş oyun adı gibi öngörülebilir kalıpları takip eder.
Bazı durumlarda, tehdit aktörleri çevrimiçi forumlarda kötü niyetli bağlantılar yayınladılar, hatta oyun topluluklarında güvenilirlik oluşturmak için sıfır tespit gösteren virustotal raporlar bile sağladılar.
Gelişmiş enfeksiyon ve kaçırma mekanizmaları
Efsane çalmanın teknik sofistike olması, çok katmanlı enfeksiyon süreci ve kapsamlı kaçırma stratejileri ile belirginleşir.
Yürütme üzerine, kötü amaçlı yazılım, sahte pencereleri kurbanlara ikna eden bir yükleyici bileşeni kullanır ve aynı anda arka planda gerçek stealer yükünü şifreleyerek yürütür.
.webp)
Bu aldatıcı arayüzler, sahne arkasında meydana gelen kötü amaçlı etkinliği maskeleyen otantik görünümlü uygulama pencereleri oluşturmak için yerli pencere-gui, egui veya native_dialog gibi pas kasalarını kullanır.
Stealer bileşeninin kendisi, sofistike anti-analiz özelliklerine sahip 64 bit DLL dosyası olarak uygulanır.
En önemlisi, okunabilir dizeleri tersine mühendislik çabalarını önemli ölçüde karmaşıklaştıran karmaşık XOR operasyonlarına dönüştüren Pust Crate OBFSTR kullanılarak String Obfusation kullanır.
Kötü amaçlı yazılım ayrıca, analiz ortamlarıyla yaygın olarak ilişkili belirli kullanıcı adlarını ve sistem dosyalarını kontrol ederek kapsamlı kum havuzu algılamasını uygular ve bu göstergeler algılanırsa yürütmeyi hemen sonlandırır.
Krom bazlı tarayıcılar için Myth Stealer, uzaktan hata ayıklama özelliklerini içeren özellikle akıllı bir teknik kullanır.
Kötü amaçlı yazılım, geleneksel dosya tabanlı ekstraksiyon yöntemleri olmadan tarayıcı verilerine doğrudan erişim sağlayan bir hata ayıklama oturumu oluşturma için “–Remote-debugging-port = 9222”, “–remote-lower-origins =*” ve “–Headless” dahil olmak üzere belirli parametrelerle tarayıcı işlemlerini başlatır.
Son sürümlerde, kötü amaçlı yazılım, Windows Shellexecutew API’sini “RunaS” parametreleriyle kullanarak ayrıcalıkları artırmaya çalışarak korumalı tarayıcı veritabanlarına erişme yeteneğini artırmaya çalışır.
Kalıcılık mekanizması, sahte bir “.lnkk” dosya uzantısını kötü amaçlı yazılım yürütülebilir ile ilişkilendiren özel kayıt defteri girişleri oluştururken, kullanıcının AppData \ Roaming dizininde “winlnk.exe” adlı bir dosya oluşturarak eşit karmaşıklığı gösterir.
Bu yaklaşım, kötü amaçlı yazılımın sistem yeniden başlatılmasını sağlarken, geleneksel kalıcılık tekniklerine odaklanan standart güvenlik izlemesinden kaçınan düşük bir profili korur.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği