EDDIESTEALER: Yenilikçi Bir Bilgi Hırsızı
Son dönemde siber güvenlik dünyasında dikkat çeken bir tehdit EDDIESTEALER adı verilen yeni bir Rust tabanlı bilgi hırsızı. Bu kötü amaçlı yazılım, sahte CAPTCHA onay sayfaları aracılığıyla kullanıcılara ulaşmayı hedefleyen ClickFix sosyal mühendislik taktiğini kullanıyor. Elastic Security Labs araştırmacısı Jia Yu Chan, bu kampanyayı analiz ederek, kullanıcıları kötü niyetli bir PowerShell betiği çalıştırmaya ikna eden deceptive CAPTCHA sayfalarının kullanıldığını belirtmektedir.
Kötü Amaçlı Yazılımın Çalışma Prensibi
Bu saldırı zincirleri, tehdit aktörlerinin meşru web sitelerini kötü amaçlı JavaScript yüklemeleri ile ele geçirmesiyle başlıyor. Ziyaretçilere, "robot olmadığınızı kanıtlayın" mesajı veren sahte CAPTCHA kontrol sayfaları sunuluyor. Bu aşamada, kurbanlar Windows Run diyalog penceresini açmaları, kopyalanmış bir komutu bu pencerede yapıştırmaları ve enter tuşuna basmaları için yönlendiriliyorlar. Bu işlem, obfuscate edilmiş bir PowerShell komutunun çalıştırılmasını sağlıyor ve sonuç olarak dış bir sunucudan bir sonraki aşama yüklemesi alınıyor.
Kötü niyetli JavaScript yüklemesi, "gverify.js" dosyası olarak mağdurun Downloads klasörüne kaydediliyor ve gizli bir pencerede çalıştırılıyor. Bu aracın amacı, EDDIESTEALER ikili dosyasını aynı uzak sunucudan almak ve zararlı dosyayı rastgele oluşturulmuş bir 12 karakterli dosya adıyla Downloads klasörüne kaydetmek.
EDDIESTEALER’ın Özellikleri
EDDIESTEALER, sistem verileri toplama, komut ve kontrol (C2) sunucusundan görev alma ve enfekte olmuş makineden ilginç verileri çekme yeteneğine sahip bir kötü amaçlı yazılımdır. Kripto para cüzdanları, web tarayıcıları, parola yöneticileri, FTP istemcileri ve mesajlaşma uygulamaları, hedeflenen veri türleri arasında yer almaktadır.
Elastic’in açıkladığı üzere, bu hedefler C2 operatörü tarafından yapılandırılabildiğinden değişiklik gösterebiliyor. EDDIESTEALER, hedef dosyaları okumak için standart kernel32.dll işlevlerini kullanmaktadır.
Toplanan veriler, görevlerin tamamlanmasının ardından ayrı bir HTTP POST isteği ile C2 sunucusuna şifrelenmiş bir şekilde iletilmektedir. Ayrıca, zararlı yazılım, WinAPI çağrılarının belirlenmesi için özel bir çözümleme mekanizması kullandıktan sonra yalnızca bir versiyonun aynı anda çalışmasını sağlamak amacıyla bir mutex oluşturuyor.
Kendini Silme Özelliği
EDDIESTEALER, kendini yüştükten sonra silme kabiliyetine de sahiptir. Kullanıcıların dikkatini çekmeyi önlemek amacıyla NTFS Alternatif Veri Akışları üzerinden yeniden adlandırarak kendini diskten silme yöntemi kullanmaktadır. Bu, benzer bir özelliğin Latrodectus zararlısında gözlemlendiğini göstermektedir.
Zararlı yazılım aynı zamanda Chromium’un uygulama bağlı şifrelemesini atlatma yeteneğine de sahiptir. Bu sayede, çerezler gibi şifrelenmemiş hassas verilere ulaşabilir. Bunun için açık kaynak kodlu ChromeKatz aracının Rust sürümünü kullanmaktadır. Bu, zararlının, hedeflenen Chromium tarayıcısı çalışmadığında yeni bir tarayıcı örneği başlatarak verileri okuma hedefini gerçekleştirmesiyle mümkün olmaktadır.
Yeni Versiyonlar ve Fonksiyonlar
Elastic, zararlının güncellenmiş sürümlerinde çalışan süreçleri, GPU bilgilerini, CPU çekirdek sayısını ve CPU adını toplayabilen özellikler tespit etti. Ayrıca, bu yeni varyantlar, sunucuya gönderilmeden önce ev sahibi bilgilerini önceden iletmek için C2 iletişim desenini değiştirmektedir.
Zararlının, istemci ile sunucu arasındaki iletişimde kullanılan şifreleme anahtarı da ikili dosyaya sabit kodlanmıştır. Bu durum, zararlının dinamik olarak sunucudan alabileceği anahtarı önlemektedir.
Gelecek Tehditler ve Durum Analizi
EDDIESTEALER’ın ortaya çıkmasıyla beraber, siber güvenlik alanında yeni tür zararlı yazılımlar da dikkat çekmektedir. Katz Stealer ve AppleProcessHub Stealer gibi yeni aileler, farklı platformları hedef almakta ve kullanıcıların hassas bilgilerini çalmaktadır. Örneğin, Katz Stealer, Chrome’un uygulama bağlı şifrelemesini atlatmak için DLL enjekte etme tekniğini kullanıyor.
Sonuç olarak, EDDIESTEALER ve benzeri zararlılar, gelişmiş teknikleri ve gizlilik odaklı yaklaşımları ile siber güvenlik tehditlerinin evrimini göstermektedir. Bunun yanında, kullanıcıların dikkatli ve bilinçli olmaları, siber saldırılara karşı koruma sağlamak açısından kritik bir öneme sahiptir.
