adlı yeni bir bilgi çalan kötü amaçlı yazılım Mistik Hırsız yaklaşık 40 farklı web tarayıcısından ve 70’in üzerinde web tarayıcı uzantısından veri çaldığı tespit edildi.
İlk olarak 25 Nisan 2023’te ayda 150 ABD doları karşılığında reklamı yapılan kötü amaçlı yazılım, kripto para cüzdanlarını, Steam ve Telegram’ı da hedefler ve analize direnmek için kapsamlı mekanizmalar kullanır.
“Kod, polimorfik dize gizleme, karma tabanlı içe aktarma çözünürlüğü ve sabitlerin çalışma zamanı hesaplaması kullanılarak büyük ölçüde gizlenmiştir.” soruşturma Ve Z ölçekleyici araştırmacılar geçen hafta yayınlanan bir analizde söyledi.
Mystic Stealer, satışa sunulan diğer birçok suç yazılımı çözümü gibi, veri çalmaya odaklanır ve C programlama dilinde uygulanır. Kontrol paneli Python kullanılarak geliştirilmiştir.
Mayıs 2023’te kötü amaçlı yazılıma yönelik güncellemeler, bir komut ve kontrol (C2) sunucusundan getirilen sonraki aşama yüklerini alıp yürütmesine izin veren bir yükleyici bileşeni içeriyor ve bu da onu daha çetin bir tehdit haline getiriyor.
C2 iletişimleri, TCP üzerinden özel bir ikili protokol kullanılarak sağlanır. Bugüne kadar 50 kadar çalışır durumda C2 sunucusu tanımlanmıştır. Kontrol paneli, hırsızın alıcılarının veri günlüklerine ve diğer yapılandırmalara erişmesi için arayüz görevi görür.
Siber güvenlik firması Cyfirma, yayınlanan Mystic’in eşzamanlı bir analizi, “ürünün yazarı, özel bir Telegram kanalı aracılığıyla hırsızda ek iyileştirmeler için önerileri açıkça davet ediyor” dedi ve bu, siber suçlu topluluğunu mahkemeye çıkarmak için aktif çabaları gösteriyor.
Araştırmacılar, “Mystic Stealer’ın geliştiricisinin, anti-analiz ve savunmadan kaçmaya odaklanmaya çalışırken, kötü amaçlı yazılım alanındaki mevcut eğilimlerle aynı seviyede bir hırsız üretmeye çalıştığı açık görünüyor” dedi.
Bulgular şu şekilde gelir bilgi hırsızları genellikle hedef ortamlara ilk erişimi sağlamak için kimlik bilgilerinin toplanmasını kolaylaştırarak haberci olarak hizmet eden, kayıt dışı ekonomide sıcak bir mal olarak ortaya çıkmıştır.
Başka bir deyişle, hırsızlar, diğer siber suçlular tarafından fidye yazılımı ve veri gaspı unsurları kullanan mali amaçlı kampanyalar başlatmak için bir temel olarak kullanılır.
Popülaritedeki artışa rağmen, kullanıma hazır hırsız kötü amaçlı yazılımları daha geniş bir kitleye hitap etmek için uygun fiyatlarla pazarlanmıyor, aynı zamanda radarın altından uçmak için gelişmiş teknikler paketleyerek daha ölümcül hale geliyorlar.
Hırsız evreninin sürekli gelişen ve uçucu doğası, en iyi şekilde, aşağıdakiler gibi yeni türlerin sürekli olarak tanıtılmasıyla örneklendirilebilir: Albüm Hırsızı, Haydut Hırsızı, devopt, KırıcıVe Rhadamanthys Son aylarda.
Tehdit aktörünün tespitten kaçma girişimlerinin bir başka işareti olarak, bilgi hırsızlarının ve uzaktan erişim truva atlarının AceCryptor, ScrubCrypt (BatCloak olarak da bilinir) ve Ekran alıntısı3.
Geliştirme ayrıca HP Wolf Security olarak geliyor detaylı Google Chrome’a kötü amaçlı bir uzantı yüklemek ve hassas verileri çalmak, aramaları yönlendirmek ve bir kurbanın tarayıcı oturumuna reklamlar eklemek için tasarlanmış, kod adı Şampuan olan Mart 2023 ChromeLoader kampanyası.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Güvenlik araştırmacısı Jack Royer, “Kullanıcılar kötü amaçlı yazılımla çoğunlukla filmler (Cocaine Bear.vbs), video oyunları veya diğer yasa dışı içerikleri indirirken karşılaştı.” söz konusu. “Bu web siteleri, kurbanları bilgisayarlarında enfeksiyon zincirini tetikleyen kötü amaçlı bir VBScript çalıştırmaları için kandırıyor.”
VBScript daha sonra, “–load-extension” komut satırı argümanını kullanarak mevcut tüm Chrome pencerelerini sonlandırabilen ve paketlenmemiş hileli uzantıyla yeni bir oturum açabilen PowerShell kodunu başlatmaya devam eder.
Ayrıca, keyfi komutları yürütme ve Cobalt Strike gibi bir C2 sunucusu tarafından sağlanan yükleri enjekte etme yeteneğine sahip olan ve adı Pikabot olan yeni bir modüler kötü amaçlı yazılım truva atının keşfini takip eder.
2023’ün başından beri aktif olan implantın, iki aileyi birbirine bağlayan kesin bir kanıt olmamasına rağmen, dağıtım yöntemleri, kampanyalar ve kötü amaçlı yazılım davranışları açısından QBot ile benzerlikler paylaştığı bulundu.
Zscaler, “Pikabot, kapsamlı bir anti-analiz teknikleri seti uygulayan ve kabuk kodu yüklemek ve rasgele ikinci aşama ikili dosyaları yürütmek için ortak arka kapı yetenekleri sunan yeni bir kötü amaçlı yazılım ailesidir.” söz konusu.