Güvenlik araştırmacıları, Windows sistemlerine bulaşmak için deneysel bir Node.js özelliği kullanan Stealit kötü amaçlı yazılımının yeni ve aktif bir saldırısını tespit etti.
FortiGuard Labs tarafından hazırlanan bir rapora göre tehdit aktörleri, kötü amaçlı yüklerini paketlemek ve dağıtmak için Node.js’nin Tek Çalıştırılabilir Uygulama (SEA) işlevselliğinden yararlanıyor. Bu güncellenmiş taktik, Electron çerçevesine dayanan önceki Stealit versiyonlarından bir farklılığa işaret ediyor.
Kötü amaçlı yazılım, popüler oyunlar ve VPN yazılımı için yükleyici olarak gizlenen Mediafire ve Discord gibi dosya paylaşım platformları aracılığıyla dağıtılıyor.
Bu keşif, güvenlik analistlerinin, kötü amaçlı yazılımın ele geçirilen makinelerde kalıcılık oluşturmak için kullandığı Visual Basic komut dosyası tespitlerinde ani bir artış fark etmesinden sonra geldi.
SEA’nın kullanılması, kötü amaçlı yazılımın önceden yüklenmiş bir Node.js çalışma zamanı gerektirmeden bağımsız bir ikili dosya olarak çalışmasına olanak tanır ve bu da onu saldırganlar için çok yönlü bir dağıtım yöntemi haline getirir.
Stealit Kötü Amaçlı Yazılım Node.js Uzantılarını İstismar Ediyor
Stealit’in arkasındaki operatörler, gelişmiş bir Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) işi yürütüyor ve yarattıklarını halka açık bir web sitesinde pazarlıyor.
Son zamanlarda yayından kaldırılmamak için alan adları arasında geçiş yapan site, Stealit’i “profesyonel veri çıkarma çözümü” olarak tanıtıyor ve çeşitli abonelik planları sunuyor.
Bir müşteri yaklaşık 500 ABD Doları karşılığında Windows sürümü için ömür boyu lisans satın alabilirken, Android sürümü yaklaşık 2.000 ABD Doları fiyatla satılmaktadır.
Web sitesi, kötü amaçlı yazılımın, uzaktan dosya erişimi, web kamerası ele geçirme, canlı ekran izleme ve hatta fidye yazılımı dağıtmaya yönelik bir modül gibi tipik Uzaktan Erişim Truva Atı (RAT) işlevlerini içeren kapsamlı yeteneklerini ayrıntılarıyla anlatıyor.
Hizmet ayrıca, operatörlerin güncellemeleri yayınladığı ve potansiyel müşterilerle etkileşime girdiği, bu siber suç operasyonunun profesyonel ve ticari doğasını sergileyen halka açık bir Telegram kanalı aracılığıyla da tanıtılıyor.
Stealit operatörleri tarafından tanıtılan temel özellikler şunları içerir:
- Gerçek zamanlı gözetim için canlı ekran görüntüleme ve web kamerası erişimi.
- Uzaktan kapatma ve yeniden başlatma dahil sistem yönetimi özellikleri.
- Yerleşik bir terminal arayüzü aracılığıyla komut yürütme.
- Masaüstü ve Belgeler gibi kritik dizinlerden dosya çıkarma.
- Doğrudan kurban iletişim kanallarıyla fidye yazılımı dağıtımı.
- Kullanıcıları kandırmak için sahte uyarı mesajı oluşturma.
- Uzaktan ses çalma ve duvar kağıdı değiştirme yetenekleri.
Gelişmiş Kaçınma Teknikleri
Stealit’in en son sürümü, tespitleri engellemek ve araştırmayı engellemek için tasarlanmış çok katmanlı şaşırtmaca ve anti-analiz özellikleriyle tasarlanmıştır. Saldırı, kullanıcı ilk yükleyiciyi çalıştırdığında başlar.
Bu, yoğun şekilde gizlenmiş komut dosyalarının kodunun çözüldüğü ve bellekte yürütüldüğü çok aşamalı bir süreci tetikler. Kötü amaçlı yazılım, ana yüklerini dağıtmadan önce bir sanal makinede mi yoksa bir güvenlik analizi ortamında mı çalıştığını belirlemek için bir dizi sıkı kontrol gerçekleştirir.
Sistem belleğini, CPU çekirdeği sayısını, ana bilgisayar adlarını, çalışan işlemleri ve kayıt defteri anahtarlarını, korumalı alan oluşturma veya hata ayıklama araçlarına ilişkin herhangi bir işaret açısından inceler.
Bu türden herhangi bir yapı tespit edilirse, kötü amaçlı yazılım derhal yürütmeyi sonlandırır ve sahte bir hata mesajı görüntüler.
Bu sağlam savunma mekanizması, kuruluma devam etmeden önce kurbanın sisteminde tespit edilmeden kalmasına olanak tanır.
Stealit tarafından kullanılan anti-analiz teknikleri:
- Donanım ve sistem kontrolleri yoluyla sanal ortamın tespiti.
- Hata ayıklama ve analiz araçlarını tanımlamak için süreç izleme.
- Güvenlik yazılımı eserleri için kayıt defteri incelemesi.
- İzleme sistemlerini tespit etmek için ağ bağlantı noktası taraması.
- Yüklenen güvenlik modüllerini tanımlamak için DLL enjeksiyon analizi.
- Araştırmacı ortamlarından kaçınmak için ana süreç doğrulaması.
- Korumalı alana alınmış yürütme ortamlarını tespit etmek için zamanlama analizi.
Kapsamlı Veri Hırsızlığı Yetenekleri
Kötü amaçlı yazılım, güvenlik kontrollerini başarıyla geçtikten sonra, birincil görevi olan veri hırsızlığını gerçekleştirmek için komuta ve kontrol (C2) sunucusundan çeşitli bileşenler indirir.
Uç nokta güvenlik ürünleri tarafından algılanmayı önlemek için kurulum dizinlerini Windows Defender dışlama listesine ekler.
Temel bileşenlerinden biri, save_data.exekayıtlı kimlik bilgileri ve çerezler gibi hassas bilgileri Chromium tabanlı tarayıcılardan çıkarmak için ChromElevator adlı açık kaynaklı bir araç kullanır.
Başka bir modül, stats_db.exeTelegram ve WhatsApp gibi mesajlaşma programları, Steam ve Epic Games gibi oyun platformları ve çeşitli kripto para cüzdanları da dahil olmak üzere çok çeşitli uygulamalardan veri çalmak için tasarlandı.
Çevikliklerini gösteren tehdit aktörlerinin haftalar içinde Electron çerçevesine döndükleri, bu kez komut dosyalarına AES-256-GCM şifrelemesini ekledikleri gözlemlendi; bu da bunun hızla gelişen ve kalıcı bir tehdit olduğunu gösteriyor.
Uzlaşma Göstergeleri (IoC’ler):
| Tip | SHA256 / URL’si |
|---|---|
| Dosya | 554b318790ad91e330dced927c92974d6c77364ceddfb8c2a2c830d8b58e203c |
| Dosya | aa8f0988f1416f6e449b036d5bd1624b793b71d62889afdc4983ee21a1e7ca87 |
| Dosya | 5ea27a10c63d0bbd04dbea5ec08fe0524e794c74d89f92ac6694cfd8df786b1f |
| Dosya | 083c4e0ffdc9edf0d93655ee4d665c838d2a5431b8064242d93a545bd9ad761b |
| Dosya | 432b8414113a8c14c0305a562a93ed926e77de351bac235552a59cc02e1e5627 |
| Dosya | 8e1cf254d23e2b94c77294079336339ececf33a3e7ee1a3621ee4e0df0695ce5 |
| Dosya | 919a2107ac27e49cdaa60610706e05edfc99bd3f2e9ca75da4feb6a5f2517c27 |
| Dosya | e004f8e39e489dec74a13d99836ee5693bd509047ecf49f3fc14efc143a161b5 |
| Dosya | 818350a4fb4146072a25f0467c5c99571c854d58bec30330e7db343bceca008b |
| Dosya | 8814db9e125d0c2b7489f8c7c3e95adf41f992d4397ed718bda8573cb8fb0e83 |
| Dosya | 24b3def3f374c5f17ec9f1a347c71d9c921155c878ab36e48dd096da418bf782 |
| Dosya | c38130d7cb43cf3da4858247a751d7b9a3804183db8c4c571b6eede0590474da |
| URL’si | https[:]//hayvanları seviyorum[.]mağaza/ |
| URL’si | https[:]//hayvanları seviyorum[.]mağaza/kullanıcı/giriş |
| URL’si | https[:]//kök[.]hayvanları seviyorum[.]alışveriş/indirme/save_data |
| URL’si | https[:]//kök[.]hayvanları seviyorum[.]alışveriş/indirme/stats_db |
| URL’si | https[:]//kök[.]hayvanları seviyorum[.]alışveriş/indirme/game_cache |
| URL’si | https[:]//kök[.]hayvanları seviyorum[.]Mağaza / Panelleme |
| URL’si | https[:]//kök[.]gizlice güncellendi[.]haha/indirme/save_data |
| URL’si | https[:]//kök[.]gizlice güncellendi[.]haha/indirme/stats_db |
| URL’si | https[:]//kök[.]gizlice güncellendi[.]hahaha/indirme/game_cache |
| URL’si | https[:]//cdn[.]anlaşmazlık uygulaması[.]com/attachments/1395171942494896190/1413957011837816915/VrchatPlugin.rar?ex=68bdd1 95&is=68bc8015&hm=b9f359a7f75b84d1b860d2aa4dd92f8adad3a2feef5d82832f49d664a256ff7b& |
| URL’si | https[:]//www[.]medya ateşi[.]com/file/9ni7pgjxuw8pc6h/ShaderSetup.rar/file |
| URL’si | HTTPS[:]//1529’u indir[.]medya ateşi[.]com/8006s55pduvgtQ0THBMZxcLtlrh20a5BnfF18n8YfGUB8P7M5U3mEQb-UYYDCrMHsSG0aWvnyy_LIMg2OnTc4kuNYmWzjWLQwO ds-qSfhdO03NOQFAAaYCPiOvB8nU7mBEHe-3a5gDSufW6upPbFXyGlbzBTdtpcrVPXokNKOYZ9/c4zbp39q02jvrn8/Aykadia.rar |
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.