Palo Alto Networks'ün Unit 42 araştırma birimi, Gremlin stealer'ın en son sürümünün basit bir kimlik avcısından modüler bir tehdit aracına evrildiğini duyurdu. Nisan 2025'te ortaya çıkan bu kötü amaçlı yazılım, sadece 12 ay içinde önemli ölçüde gelişti. Yeni sürüm, statik analiz araçlarını atlatmak için özel olarak tasarlanmış gelişmiş gizlenme teknikleri ve anti-analiz önlemleri içeriyor. Araştırmacılar, bu evrimin Gremlin'i daha karmaşık ve tehlikeli bir tehdit haline getirdiğini belirtiyor.
Gremlin stealer, ele geçirdiği sistemlerden hassas bilgileri çalarak saldırganların kontrolündeki sunuculara gönderiyor. Bu bilgiler daha sonra yayınlanabiliyor veya satılabiliyor. Hedefler arasında web tarayıcıları, sistem panosu ve yerel depolama yer alıyor. Yeni varyant, özellikle statik analiz araçlarını atlatmaya odaklanmış durumda. Kötü amaçlı yük, .NET Resource bölümüne taşınmış ve XOR kodlama ile maskelenmiş. Bu sayede imza tabanlı tespit ve sezgisel tarama yöntemleri etkisiz hale getiriliyor.
Unit 42 analistleri, Gremlin'in yeni veri yayınlama sitesini (hxxp[:]194.87.92[.]109) keşfettiklerinde endişe verici bir durumla karşılaştı: ViralTotal'da bu site, ilişkili URL'ler ve ele geçirilen dosyalar için hiçbir tespit bulunmuyordu. Hiçbir kara liste kaydı, topluluk raporu veya kötü amaçlı sınıflandırma yoktu. Bu, tehdidin henüz güvenlik topluluğu tarafından fark edilmediğini gösteriyor. Veri hırsızlığı sonrası, Gremlin çalınan öğeleri bir ZIP arşivinde topluyor: tarayıcı çerezleri, oturum belirteçleri, pano içerikleri, kripto para cüzdan verileri, FTP ve VPN kimlik bilgileri. Arşiv, kurbanın genel IP adresiyle adlandırılıyor.
Sonuç ve Değerlendirme
Yeni varyantın en dikkat çekici özelliklerinden biri, Discord token'larını çalmak için özel bir modül eklenmesi. Bu token'lar, sosyal mühendislik saldırılarıyla dijital kimlikleri hedef almak için kullanılabiliyor. Ayrıca Gremlin, finansal olarak daha agresif bir hal aldı. Araştırmacılar, 'kripto klipleyici' işlevinin eklendiğini gözlemledi. Bu özellik, kullanıcının panosundaki cüzdan adreslerini izleyerek bunları saldırganın cüzdan adresleriyle değiştiriyor. Böylece kripto para işlemleri gerçek zamanlı olarak yönlendirilebiliyor ve kullanıcı fark etmeden fonlar çalınabiliyor.
Güncellenen sürüm ayrıca WebSocket tabanlı oturum ele geçirme yeteneği sunuyor. Bu, saldırganların çalışan işlemden doğrudan aktif tarayıcı oturumlarını ele geçirmesine olanak tanıyor. Modern çerez korumalarını atlayarak, kimliği doğrulanmış hesaplara anında erişim sağlıyor. Bu özellik, özellikle Chromium tabanlı tarayıcıları hedef alıyor. Araştırmacılar, Gremlin'in basit bir veri sızdırma aracından daha karmaşık bir modüler hırsıza dönüştüğünü vurguluyor.
Teknik Analiz
Gremlin stealer'ın bu yeni sürümü, siber güvenlik uzmanları için önemli bir uyarı niteliği taşıyor. Kötü amaçlı yazılımlar giderek daha karmaşık hale gelirken, kullanıcıların ve kuruluşların güvenlik önlemlerini güncellemeleri kritik önem taşıyor. Özellikle kripto para kullanıcıları, Discord hesaplarını korumak için iki faktörlü kimlik doğrulama kullanmalı ve bilinmeyen kaynaklardan gelen dosyaları açarken dikkatli olmalı. Ayrıca, güncel antivirüs yazılımları ve güvenlik duvarları, bu tür tehditlere karşı ilk savunma hattını oluşturuyor.
Kaynak: infosecurity-magazine.com