Ocak 2023’te ilk satılan kötü şöhretli bir bilgi stealer ve kötü amaçlı yazılım indiricisi olan Stealc, Mart 2025’te sürüm 2’yi (V2) sofistike geliştirmelerle sundu.
Bu en son yineleme, geleneksel yürütülebilir (exe) dosyaların yanı sıra Microsoft Yazılım Yükleyicisi (MSI) paketleri ve PowerShell komut dosyalarını içeren gelişmiş yük dağıtım yöntemlerine odaklanan bir dizi yeni özellik sunar.
Zscaler raporuna göre, bu gelişme Stealc V1’den kayda değer bir evrimi işaret ederek kötü amaçlı yazılımların erişimini ve karmaşıklığını genişletiyor.
.png
)
Yeniden tasarlanan kontrol paneli artık tehdit aktörlerinin coğrafi konum, donanım kimlikleri (HWID) ve yüklü yazılıma dayalı yük dağıtımını özelleştirmelerine izin veren entegre bir üreticiye sahiptir.
Ek olarak, Stealc V2, son varyantlarında RC4 şifrelemesini (sürüm sonrası 2.1.1), aerodinamik bir JSON tabanlı komut ve kontrol (C2) iletişim protokolü ve kimlik bilgisi hasat için sunucu tarafı kaba zorlama, aktif gelişimini vurgulayarak ve tehdit potansiyelini artırır.
Teknik yenilikler ve gelişen tehdit mekanizmaları
Teknik yükseltmelere daha derinlemesine giren Stealc V2, çok monti-monitör ekran görüntüsü yakalama ve birleştirilmiş bir dosya tutan kripto cüzdanları, oyun uygulamaları, VPN’ler, e-posta istemcileri ve eklentiler sunarken selefinin çeşitli özelliklerini terk etti.
Sık sık şaşkınlık için kendileriyle dolu olan kötü amaçlı yazılım, dizeler için iki aşamalı bir deobfuscation işlemi kullanır ve aşılanırsa yürütmeyi sona erdiren bir son kullanma tarihi de dahil olmak üzere kritik verilerin çözülmesi için sert kodlanmış RC4 tuşları kullanır.
STEALC V1’in aksine, yeni sürüm X64 mimarileri için derlenir ve modern sistemlere uyarlanabilirliğini sergileyen Chrome V20 uygulamaya bağlı şifrelemeyi destekler.
Yük yürütme, özellikle rafine edilmiş MSI dosyaları, yeniden deneme mekanizmalarıyla msiexec.exe aracılığıyla sessizce yüklenirken, PowerShell komut dosyaları yeniden denetlenmeden uzaktan yürütülür ve kötü amaçlı yazılımların gizliliğini ve kalıcılığını artırır.
Ağ iletişimi artık statik imzalardan kaçmak için JSON isteklerini benzersiz bir rastgele parametre ile kullanıyor ve C2 sunucusundan hata kodları, V1’in ilkel yanıtları üzerinde önemli bir iyileştirme olan hatalı biçimlendirilmiş istekler hakkında ayrıntılı geri bildirim sağlıyor.
Kontrol panelinin, bildirimler için telgraf bot entegrasyonu ve kural tabanlı yük dağıtımını içeren evrimi, operatörlere, veri söndürme için yüksek hedefli bir yaklaşımı gösteren, çalınan verilerde “Coinbase.com” gibi belirteçlere göre belirli yükleyicileri tetiklemelerini sağlar.
STEALC V2’nin geliştirici şablonları ve sürüm yapılandırmaları içeren Zip arşivleri aracılığıyla geliştirme ekibi tarafından yönetilen devam eden güncellemeleri, operatörlerin en son sürümlere kilitlenmesini sağlayarak hafifletme çabalarını daha da karmaşıklaştırıyor.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer |
|---|---|
| Paketlenmiş örnek SHA256 (Stealc V2) | 0B92163656E3E1F8CE71FF9C931DA5675089BA796B65A6B21240425D63C8C |
| Paketlenmiş örnek SHA256 (Stealc V2) | E205646761f59f23d5c8a8483f8a03a313d3b435b302d3a37061840b5cc084c3 |
| Paketlenmemiş örnek SHA256 (Stealc V2) | A1B2AECDDD1B37E0C7836F5C254398250363E74013700D9A812C98269752F385 |
| Paketlenmemiş örnek SHA256 (Stealc V2) | 27C77167584CE803317AAB2B5DB5963E9DFA86450237195F5723185361510DC |
| Düşmüş yük SHA256 (Amadey) | Dd36c7d50cb05761391a7f65932193ec847d4f8ba1b2f2a43ecf4985d911f4 |
| Kötü Yazılım Düşüyor STEALC V2 SHA256 (Amadey) | 87618787E1032bbfff6a6ca8b338a3803be20a49afa1df38a6116085062f |
| Stealc V2 C2 Sunucusu | http: //45.93.20[.]64/c090b39aa5004512.php |
| Stealc V2 C2 Sunucusu | http: //45.93.20[.]28/3d15e67552d448ff.php |
| Stealc V2 C2 Sunucusu | http: //88.214.48[.]93/ea2cb15d61cc476f.php |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!