Yeni Stealc V2 Yükseltme Hedefleri Microsoft Yükleyici Paketleri ve PowerShell Komut Dosyaları


Ocak 2023’te ilk satılan kötü şöhretli bir bilgi stealer ve kötü amaçlı yazılım indiricisi olan Stealc, Mart 2025’te sürüm 2’yi (V2) sofistike geliştirmelerle sundu.

Bu en son yineleme, geleneksel yürütülebilir (exe) dosyaların yanı sıra Microsoft Yazılım Yükleyicisi (MSI) paketleri ve PowerShell komut dosyalarını içeren gelişmiş yük dağıtım yöntemlerine odaklanan bir dizi yeni özellik sunar.

Zscaler raporuna göre, bu gelişme Stealc V1’den kayda değer bir evrimi işaret ederek kötü amaçlı yazılımların erişimini ve karmaşıklığını genişletiyor.

– Reklamcılık –
Google Haberleri

Yeniden tasarlanan kontrol paneli artık tehdit aktörlerinin coğrafi konum, donanım kimlikleri (HWID) ve yüklü yazılıma dayalı yük dağıtımını özelleştirmelerine izin veren entegre bir üreticiye sahiptir.

Ek olarak, Stealc V2, son varyantlarında RC4 şifrelemesini (sürüm sonrası 2.1.1), aerodinamik bir JSON tabanlı komut ve kontrol (C2) iletişim protokolü ve kimlik bilgisi hasat için sunucu tarafı kaba zorlama, aktif gelişimini vurgulayarak ve tehdit potansiyelini artırır.

Teknik yenilikler ve gelişen tehdit mekanizmaları

Teknik yükseltmelere daha derinlemesine giren Stealc V2, çok monti-monitör ekran görüntüsü yakalama ve birleştirilmiş bir dosya tutan kripto cüzdanları, oyun uygulamaları, VPN’ler, e-posta istemcileri ve eklentiler sunarken selefinin çeşitli özelliklerini terk etti.

Powershell betiği
Stealc V2’nin iletişim iş akışını gösterir.

Sık sık şaşkınlık için kendileriyle dolu olan kötü amaçlı yazılım, dizeler için iki aşamalı bir deobfuscation işlemi kullanır ve aşılanırsa yürütmeyi sona erdiren bir son kullanma tarihi de dahil olmak üzere kritik verilerin çözülmesi için sert kodlanmış RC4 tuşları kullanır.

STEALC V1’in aksine, yeni sürüm X64 mimarileri için derlenir ve modern sistemlere uyarlanabilirliğini sergileyen Chrome V20 uygulamaya bağlı şifrelemeyi destekler.

Yük yürütme, özellikle rafine edilmiş MSI dosyaları, yeniden deneme mekanizmalarıyla msiexec.exe aracılığıyla sessizce yüklenirken, PowerShell komut dosyaları yeniden denetlenmeden uzaktan yürütülür ve kötü amaçlı yazılımların gizliliğini ve kalıcılığını artırır.

Ağ iletişimi artık statik imzalardan kaçmak için JSON isteklerini benzersiz bir rastgele parametre ile kullanıyor ve C2 sunucusundan hata kodları, V1’in ilkel yanıtları üzerinde önemli bir iyileştirme olan hatalı biçimlendirilmiş istekler hakkında ayrıntılı geri bildirim sağlıyor.

Kontrol panelinin, bildirimler için telgraf bot entegrasyonu ve kural tabanlı yük dağıtımını içeren evrimi, operatörlere, veri söndürme için yüksek hedefli bir yaklaşımı gösteren, çalınan verilerde “Coinbase.com” gibi belirteçlere göre belirli yükleyicileri tetiklemelerini sağlar.

Powershell betiği
Coinbase.com’u arayacak Stealc V2 işaretleyici kuralı

STEALC V2’nin geliştirici şablonları ve sürüm yapılandırmaları içeren Zip arşivleri aracılığıyla geliştirme ekibi tarafından yönetilen devam eden güncellemeleri, operatörlerin en son sürümlere kilitlenmesini sağlayarak hafifletme çabalarını daha da karmaşıklaştırıyor.

Uzlaşma Göstergeleri (IOCS)

TipDeğer
Paketlenmiş örnek SHA256 (Stealc V2)0B92163656E3E1F8CE71FF9C931DA5675089BA796B65A6B21240425D63C8C
Paketlenmiş örnek SHA256 (Stealc V2)E205646761f59f23d5c8a8483f8a03a313d3b435b302d3a37061840b5cc084c3
Paketlenmemiş örnek SHA256 (Stealc V2)A1B2AECDDD1B37E0C7836F5C254398250363E74013700D9A812C98269752F385
Paketlenmemiş örnek SHA256 (Stealc V2)27C77167584CE803317AAB2B5DB5963E9DFA86450237195F5723185361510DC
Düşmüş yük SHA256 (Amadey)Dd36c7d50cb05761391a7f65932193ec847d4f8ba1b2f2a43ecf4985d911f4
Kötü Yazılım Düşüyor STEALC V2 SHA256 (Amadey)87618787E1032bbfff6a6ca8b338a3803be20a49afa1df38a6116085062f
Stealc V2 C2 Sunucusuhttp: //45.93.20[.]64/c090b39aa5004512.php
Stealc V2 C2 Sunucusuhttp: //45.93.20[.]28/3d15e67552d448ff.php
Stealc V2 C2 Sunucusuhttp: //88.214.48[.]93/ea2cb15d61cc476f.php

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link