Gremlin Hırsızı Gelişmiş Kaçınma Yetenekleriyle Modüler Tehdide Dönüşüyor Windows

Gremlin Hırsızı Gelişmiş Kaçınma Yetenekleriyle Modüler Tehdide Dönüşüyor

Palo Alto Networks'ün Birim 42'sindeki araştırmacılara göre, Gremlin hırsızının yeni bir versiyonu, temel bir kimlik bilgisi toplayıcıdan modüler bir ...

Palo Alto Networks'ün Birim 42'sindeki araştırmacılara göre, Gremlin hırsızının yeni bir versiyonu, temel bir kimlik bilgisi toplayıcıdan modüler bir araç setine dönüştü.

Bilgi hırsızlığı ilk olarak Nisan 2025'te ortaya çıktı ve şimdi yalnızca 12 ay sonra tehdit, yeni gizleme teknikleri ve yeni anti-analiz önlemleriyle hızla yeni yapılara dönüştü.

Gremlin hırsızı, güvenliği ihlal edilmiş sistemlerden hassas bilgileri siler ve potansiyel yayın veya satış için saldırganın kontrolündeki sunuculara sızdırır. Web tarayıcılarını, sistem panosunu ve yerel depolamayı hedefler.

Araştırmaya göre yeni varyant, gizliliğe daha fazla odaklanıyor ve statik analiz araçlarından kaçınmak için özel olarak tasarlandı.

Sistem Güvenliği

Bu, kötü amaçlı yazılım yazarlarının, kötü amaçlı veriyi .NET Kaynak bölümüne kaydırmasını, imza tabanlı tespit ve buluşsal taramayı atlamak için onu XOR kodlamasıyla maskelemesini içerir.

Özel web panelleri veya Telegram Bot API'si aracılığıyla temel mimari ve sızma yöntemleri eski sürümlerle tutarlı kalıyor.

Yeni Veri Yayın Sitesi

Sonuç ve Değerlendirme

Yeni varyant, çalınan verileri yeni konuşlandırılan bir siteye sızdırıyor (hxxp[:]194.87.92[.]109).

Sorunlu olan, Unit 42'nin analizinin, yeni veri yayın sitesini keşfettiğinde VirusTotal'ın yeni siteyi, ilgili URL'leri veya alınan herhangi bir yapıyı sıfır tespit ettiğini göstermesidir. Hiçbir engelleme listesi girişi, topluluk raporu veya kötü amaçlı sınıflandırma yoktu.

Veri hırsızlığının ardından kötü amaçlı yazılım, toplanan yapıları bir ZIP arşivinde paketler; bunlar arasında şunlar bulunur:

Kripto para cüzdanı verileri

FTP ve VPN kimlik bilgileri

Kötü amaçlı yazılım, kaynağı belirlemek için kurbanın genel IP adresini kullanarak dosyayı adlandırır ve ardından dosyayı saldırganın kontrolündeki siteye yükler.

Detaylar ve Etkileri

En Son Gremlin Varyantındaki Önemli Geliştirmeler

Palo Alto Networks'ün 42. Birimindeki analistler, en son varyantın artık sosyal mühendislik saldırıları yoluyla dijital kimlikleri hedeflemek için kullanılabilecek Discord tokenlarını çıkarmak için özel bir modül içerdiğini söylüyor.

Aynı zamanda, kötü amaçlı yazılım mali açıdan daha agresif bir hal aldı. Araştırmacılar, Gremlin'in kripto para birimi işlemlerine aktif olarak müdahale etmesini sağlayan "kripto kesme aracı" işlevinin eklendiğini gözlemledi.

Gelecekte Ne Bekleniyor?

Kötü amaçlı yazılım, kurbanın panosunu cüzdan adresleri için izleyerek ve bunları saldırganın kontrolündeki adreslerle değiştirerek, kullanıcının bilgisi olmadan fonları gerçek zamanlı olarak yönlendirebilir.

Teknik Analiz

Güncellenmiş sürüm ayrıca, saldırganların aktif tarayıcı oturumlarını doğrudan çalışan süreçten ele geçirmesine, modern çerez korumalarını atlamasına ve kimlik doğrulaması yapılmış hesaplara anında erişmelerine olanak tanıyan WebSocket tabanlı bir oturum ele geçirme özelliği de sunuyor.

Araştırmacılar, "Gremlin hırsızlığının bu son çeşidi, daha karmaşık bir tehdide doğru bir evrimi temsil ediyor. Basit bir veri sızma aracından daha gelişmiş modüler bir hırsızlığa geçiş yaparak, Gremlin artık Chromium tabanlı tarayıcıları hedef alıyor" dedi.

Paylaş: