Gremlin Stealer: Basit Bir Kimlik Avcısından Modüler Tehdite Dönüşüm Yazılım

Gremlin Stealer: Basit Bir Kimlik Avcısından Modüler Tehdite Dönüşüm

Gremlin stealer, Nisan 2025'te ortaya çıktıktan sonra 12 ayda modüler bir tehdit haline geldi. Yeni sürüm, gelişmiş kaçınma teknikleri ve kripto hırsı

Palo Alto Networks’ün Unit 42 araştırma ekibi, Gremlin stealer'ın yeni bir sürümünün basit bir kimlik avcısından modüler bir tehdit aracına dönüştüğünü açıkladı. Nisan 2025'te ilk kez tespit edilen bu kötü amaçlı yazılım, sadece 12 ay içinde yeni obfuskasyon teknikleri ve gelişmiş analiz karşıtı önlemlerle evrimleşti. Gremlin, tarayıcılardan, sistem panosundan ve yerel depolardan hassas bilgileri çalarak saldırganların sunucularına gönderiyor.

Yeni varyant, özellikle statik analiz araçlarını atlatmak üzere tasarlanmış. Kötü amaçlı yük, .NET Resource bölümüne taşınmış ve XOR kodlama ile maskelenmiş. Bu sayede imza tabanlı tespit ve sezgisel taramaları geçebiliyor. Ancak çekirdek mimari ve veri sızdırma yöntemleri (özel web panelleri veya Telegram Bot API) eski sürümlerle aynı kalmış.

Unit 42, yeni veri yayınlama sitesini keşfettiğinde VirusTotal'da sıfır tespit oranı olduğunu belirtiyor. Site, URL'ler veya alınan eserler için herhangi bir engelleme listesi, topluluk raporu veya kötü amaçlı sınıflandırma bulunmuyordu. Çalınan veriler, kurbanın genel IP adresiyle adlandırılmış bir ZIP arşivinde toplanıyor; bu arşiv tarayıcı çerezleri, oturum token'ları, pano içeriği, kripto cüzdan bilgileri, FTP ve VPN kimlik bilgilerini içeriyor.

Nasıl Önlem Alınmalı?

Gremlin'in en son sürümü, Discord token'larını çalmak için özel bir modül eklemiş. Ayrıca 'kripto clipper' işlevi ile kullanıcının panosundaki cüzdan adreslerini değiştirerek gerçek zamanlı kripto hırsızlığı yapabiliyor. WebSocket tabanlı oturum ele geçirme yeteneği sayesinde, modern çerez korumalarını aşarak aktif oturumları doğrudan çalabiliyor. Araştırmacılar, bu varyantın basit bir veri sızdırma aracından karmaşık bir modüler tehdide dönüştüğünü vurguluyor.

Paylaş: