Gremlin Stealer Modüler Tehdit Haline Geldi: Gelişmiş Kaçınma Yetenekleriyle Dikkat Çekiyor Yazılım

Gremlin Stealer Modüler Tehdit Haline Geldi: Gelişmiş Kaçınma Yetenekleriyle Dikkat Çekiyor

Palo Alto Networks Unit 42 araştırmacıları, Gremlin stealer'ın yeni sürümünün temel bir kimlik bilgisi hırsızından modüler bir tehdit aracına dönüştüğ

Palo Alto Networks'ün Unit 42 araştırma birimi, Gremlin stealer adlı kötü amaçlı yazılımın yeni bir sürümünü tespit etti. İlk olarak Nisan 2025'te ortaya çıkan bu bilgi hırsızı, sadece 12 ay içinde önemli ölçüde evrim geçirerek temel bir kimlik bilgisi toplayıcıdan modüler bir tehdit aracına dönüştü. Yeni sürüm, gelişmiş gizleme teknikleri ve anti-analiz önlemleriyle donatılmış durumda.

Gremlin stealer'ın yeni varyantı, özellikle statik analiz araçlarını atlatmak üzere tasarlanmış. Kötü amaçlı yük, .NET Resource bölümüne taşınmış ve XOR kodlama ile maskelenmiş, böylece imza tabanlı tespit ve sezgisel taramayı bypass ediyor. Veri sızdırma yöntemleri ise özel web panelleri veya Telegram Bot API üzerinden gerçekleştirilmeye devam ediyor.

En dikkat çekici özelliklerden biri, yeni varyantın Discord token'larını çalmak için özel bir modül içermesi. Bu, saldırganların sosyal mühendislik saldırılarıyla dijital kimlikleri hedef almasına olanak tanıyor. Ayrıca, 'kripto kırpıcı' işlevi eklenmiş; bu özellik, kurbanın panosundaki cüzdan adreslerini izleyerek gerçek zamanlı olarak saldırganın adresleriyle değiştiriyor ve kullanıcının haberi olmadan fonları yönlendiriyor.

Önemli Gelişmeler

Güncellenen sürüm ayrıca WebSocket tabanlı oturum ele geçirme yeteneği sunuyor. Bu, saldırganların aktif tarayıcı oturumlarını doğrudan çalışan süreçten ele geçirmesine ve modern çerez korumalarını atlayarak kimliği doğrulanmış hesaplara anında erişmesine olanak tanıyor. Araştırmacılar, Gremlin stealer'ın bu yeni varyantının, basit bir veri sızdırma aracından daha karmaşık bir tehdide dönüştüğünü ve özellikle Chromium tabanlı tarayıcıları hedef aldığını belirtiyor.

Paylaş: