Palo Alto Networks'ün Unit 42 araştırma ekibine göre, Gremlin Stealer'ın yeni bir versiyonu, basit bir kimlik bilgisi hırsızından modüler bir tehdit aracına evrildi. İlk olarak Nisan 2025'te ortaya çıkan bu bilgi hırsızı, sadece 12 ay içinde önemli ölçüde gelişti. Yeni sürüm, gelişmiş gizleme teknikleri ve anti-analiz önlemleriyle donatılmış durumda. Gremlin Stealer, hedef sistemlerden hassas bilgileri çalıp saldırganların kontrolündeki sunuculara ileterek potansiyel olarak yayınlanmasını veya satılmasını sağlıyor. Web tarayıcıları, pano ve yerel depolama gibi kaynakları hedef alıyor.
Yeni varyant, özellikle statik analiz araçlarını atlatmak için tasarlanmış. Araştırmacılara göre, zararlı yazılım yazarları, kötü amaçlı yükü .NET Kaynak bölümüne taşıyarak XOR kodlama ile maskelemiş. Bu sayede imza tabanlı algılama ve sezgisel taramayı atlatmayı başarıyor. Bununla birlikte, çekirdek mimari ve özel web panelleri veya Telegram Bot API üzerinden veri sızdırma yöntemleri önceki sürümlerle aynı kalmış.
Yeni varyantın en dikkat çekici özelliklerinden biri, çalınan verileri barındırmak için yeni bir site (hxxp[:]194.87.92[.]109) kullanması. Unit 42 analizi, bu yeni veri yayınlama sitesini keşfettiğinde VirusTotal'da hiçbir algılama olmadığını ortaya koydu. Siteyle ilişkili URL'ler veya alınan yapılar için herhangi bir blok listesi girişi, topluluk raporu veya kötü niyetli sınıflandırma bulunmuyordu. Bu durum, zararlı yazılımın tespit edilmesini daha da zorlaştırıyor.
Sonuç ve Değerlendirme
Veri hırsızlığından sonra, Gremlin Stealer çalınan yapıları bir ZIP arşivinde topluyor. Bu arşivde tarayıcı çerezleri, oturum token'ları, pano içerikleri, kripto para cüzdan verileri, FTP ve VPN kimlik bilgileri yer alıyor. Zararlı yazılım, dosyayı kurbanın genel IP adresini kullanarak adlandırıyor ve saldırganın kontrolündeki siteye yüklüyor. Bu yöntem, verilerin kaynağını belirlemeyi kolaylaştırırken, tespit edilme riskini de azaltıyor.
Unit 42 analistlerine göre, en son Gremlin varyantı artık Discord token'larını çıkarmak için özel bir modül içeriyor. Bu token'lar, sosyal mühendislik saldırıları yoluyla dijital kimlikleri hedef almak için kullanılabiliyor. Aynı zamanda, zararlı yazılım finansal olarak daha agresif bir hal aldı. Araştırmacılar, 'kripto klips' işlevi eklendiğini gözlemledi. Bu özellik, Gremlin'in aktif olarak kripto para işlemlerine müdahale etmesine olanak tanıyor. Zararlı yazılım, kullanıcının panosundaki cüzdan adreslerini izleyip saldırganın kontrolündeki adreslerle değiştirerek, kullanıcının haberi olmadan fonları gerçek zamanlı olarak yönlendirebiliyor.
Güncellenen sürüm ayrıca WebSocket tabanlı oturum ele geçirme yeteneği sunuyor. Bu, saldırganların çalışan işlemden doğrudan aktif tarayıcı oturumlarını ele geçirmesine, modern çerez korumalarını atlatmasına ve kimliği doğrulanmış hesaplara anında erişmesine olanak tanıyor. Araştırmacılar, 'Gremlin Stealer'ın bu son varyantı, daha karmaşık bir tehdide dönüşümü temsil ediyor. Basit bir veri sızdırma aracından daha gelişmiş bir modüler hırsıza geçiş yapan Gremlin, artık Chromium tabanlı tarayıcıları hedef alıyor' diye belirtiyor.
Kaynak: infosecurity-magazine.com