Palo Alto Networks'ün Unit 42 araştırmacıları, Gremlin stealer'ın yeni bir sürümünün basit bir kimlik bilgisi toplayıcıdan modüler bir araç setine dönüştüğünü bildirdi. İlk olarak Nisan 2025'te ortaya çıkan bu bilgi hırsızı, sadece 12 ay içinde yeni gizleme teknikleri ve anti-analiz önlemleriyle hızla evrildi. Yeni varyant, güvenlik araçlarını atlatmaya odaklanarak statik analiz araçlarından kaçmak üzere tasarlandı.
Kötü niyetli yükü .NET Resource bölümüne taşıyan saldırganlar, XOR kodlama kullanarak imza tabanlı algılama ve sezgisel taramayı baypas ediyor. Gremlin, kurban sistemlerden hassas bilgileri çalıp saldırgan kontrolündeki sunuculara gönderiyor. Hedefler arasında web tarayıcıları, sistem panosu ve yerel depolama bulunuyor. Veri hırsızlığı sonrası, çalınan bilgiler bir ZIP arşivine paketleniyor; tarayıcı çerezleri, oturum tokenları, pano içerikleri, kripto para cüzdan verileri, FTP ve VPN kimlik bilgileri gibi öğeleri içeriyor.
Yeni varyantın en dikkat çekici özelliklerinden biri, Discord token'larını çalmak için özel bir modül eklenmesi. Bu tokenlar, sosyal mühendislik saldırılarıyla dijital kimlikleri hedef almak için kullanılabiliyor. Ayrıca, 'kripto kırpıcı' işlevi sayesinde Gremlin, kripto para işlemlerine aktif olarak müdahale ediyor. Kurbanın panosundaki cüzdan adreslerini izleyip saldırganın adresleriyle değiştirerek, kullanıcı fark etmeden fonları yönlendirebiliyor. WebSocket tabanlı oturum ele geçirme yeteneği ise modern çerez korumalarını aşarak saldırganların aktif oturumlara doğrudan erişmesini sağlıyor.
Unit 42 analistleri, Gremlin stealer'ın son sürümünün daha karmaşık bir tehdide dönüştüğünü vurguluyor. Basit bir veri sızdırma aracından gelişmiş modüler bir hırsıza dönüşen Gremlin, artık Chromium tabanlı tarayıcıları hedefliyor. Araştırmacılar, yeni veri yayınlama sitesini keşfettiklerinde VirusTotal'da hiçbir algılama olmadığını, sitenin veya ilişkili URL'lerin herhangi bir kara listede yer almadığını belirtti. Bu durum, tehdidin ne kadar sinsi olduğunu gösteriyor.