Uzmanlar, hem yeni müşteriler hem de kurbanlar toplamak için karanlık ağda dolaşan yeni bir bilgi çalan kötü amaçlı yazılım hakkında uyarıda bulundu.
SEKOIA’dan siber güvenlik araştırmacıları, farklı yeraltı forumlarında ve Telegram gruplarında Stealc adlı yeni bir bilgi hırsızını tanıtan birden fazla reklamla karşılaştı.
Görünüşe göre, Stealc sıfırdan inşa edilmedi, bunun yerine Vidar, Racoon, Mars ve Redline Stealer gibi diğer daha popüler bilgi hırsızlarının bir yükseltmesi.
Haftalık güncellemeler
Stealc, “Plymouth” adlı bir tehdit aktörü tarafından inşa edildi ve reklamı yapılıyor. Şu anda 1.3.0 sürümünde ve en az haftada bir kez yeni ince ayarlar ve yükseltmeler alıyor gibi görünüyor.
Yeni eklenen özelliklerden bazıları, bir C2 URL rastgeleleştirici ve geliştirilmiş günlük arama ve sıralama sistemini içerir. Stealc’in insanları Ukrayna’dan kurtardığı da görüldü.
Bilgi hırsızının bir örneğini daha ayrıntılı analiz ettikten sonra SEKOIA, yasal üçüncü taraf DLL’leri kullandığını, C ile yazıldığını ve Windows API işlevlerini kötüye kullandığını, hafif olduğunu (yalnızca 80KB), dizelerinin çoğunu RC4 ve base64 ile gizlediğini, ve çalınan dosyaları otomatik olarak dışarı sızdırıyor (tehdit aktörünün herhangi bir işlem yapmasına gerek yok).
SEKOIA ayrıca Stealc’in 22 web tarayıcısından, 75 eklentiden ve 25 masaüstü cüzdanından veri çalabildiğini buldu.
Plymouth, karanlık ağda reklam vermenin yanı sıra, uç noktaları hedeflemek için dağıtmakla da meşguldü. (yeni sekmede açılır). Bunu yapma yollarından biri, yazılımın nasıl crackleneceğine dair sahte YouTube eğitimleri oluşturmak ve açıklamada, reklamı yapılan crack yerine bilgi hırsızını dağıtan bir bağlantı sağlamak.
Şimdiye kadar 40’tan fazla C2 sunucusu keşfedildi, bu da araştırmacıları Stealc’in oldukça popüler hale geldiği sonucuna götürdü. Popülerliğin, yönetici paneline erişebilen dolandırıcıların kolayca yeni hırsız örnekleri oluşturabilmesi ve böylece aralığını artırabilmesi gerçeğinden kaynaklandığını düşünüyorlar.
SEKOIA, Stealc’in düşük seviyeli bilgisayar korsanları tarafından da benimsenebileceği için oldukça popüler olabileceğine inanıyor.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)