reacin
Uzman
- Katılım
- 25 Ağustos 2024
- Mesajlar
- 5
- Beğeniler
- 18
Bu yazıda sizlere arkadaşlarımın da maruz kaldığı bir stealer yazılımından ve bunu nasıl sakladıklarından bahsedeceğim. Şimdiden bütün okurlara dikkat etmesini, ve okuduğu için teşekkür ederim.
Neler hedef alınıyor?
Tarayıcı cookieleri, otomatik doldurma bilgileri, otomatik kredi kartı doldurma bilgileri, Discord hesabı & token bilgisi, Steam hesabınızın bilgileri (ne kadar oyun olduğuna, CS2 olup olmadığına göre filtreleniyor), Türk Minecraft sunucuları (SonOyuncu/CraftRise hesap bilgileri), masaüstünüzdeki dosyalar, ve anlık ekran görüntüsü alınıyor.
Nasıl yayılıyor?
Tuzak birden fazla uygulamalar vasıtası ile, kurbanlar çekiliyor, ve kurbanların Discord hesabı üzerinden uzun süredir konuşmadığı arkadaşlarına mesaj atılıyor:
Bizim vakamızda bir Minecraft sitesi altından çıktı, fakat bu sitenin bile herkese açık görünen kodlarında bariz bir şekilde olay belliydi. Üstelik sitede gallery yok, arkaplandaki video başka bir sunucudan çalıntı.
Nasıl çalışıyor?
Siteden indirilen dosya bir. Jar dosyası. Bu dosya; virüs programlarında ve diğer online tarama sitelerinde zararsız gözükecek, ki asıl amaçlanan da bu imiş zaten.
Dönen olay şu, bu. Jar dosyasının tek amacı zararsız gözükmesi. Çünkü asıl hedef arka planda zararlı. MSI dosyasını indirmek.
İndirilen. MSI dosyasını lessmsi yazılımı ile extractladık. İlk dikkat çeken şey ise streamable yazılımının ikonuna sahip olması. Ki ileride bununla ilgili daha fazla şeyler göreceğiz.
Buradaki bütün .dll ve .exe dosyaları da temiz. Asıl olay, resources klasöründeki App. Asar arşivinde. Basit bir ZIP yazılımı ile bunu çıkarabiliyoruz.
Çıkardığımız zaman, main.js adında bir betik ortaya çıkıyor.
İçeriğinde; uygun Java sürümü kurulumu ve zararlı. Jar dosyasının indirilmesi var. PowerShell execution bypass kullanarak güvenlik engellerini aşıyor ve çalıştırıyor. Ayrıca abartılı yorum satırlarından anladığımız kadarıyla bütün sistem yapay zekaya yaptırılmış.
Bu javas. Jar isimli dosyayı da basit bir ZIP programı ile inceleyip ana koda ulaşabiliyoruz.
Bütün hepsini cfr ile decode edip, ana kodlarına ulaşabiliyoruz. Altyapı amatörce hazırlanmış, gizlenmeye çalışılan her şey basitçe kırılabiliyor ve hepsi Yapay zekâ ile oluşturulmuş.
Önemli dosyaların ne yaptığı tek tek şu şekildedir:
Ve, birden fazla yerde streamable ile ilgili referanslar buldum.
Nasıl dikkat etmeliyiz?
Arkadaşınızdan gelen bir mesaj olsa dahi bir dosya indirirken indirdiğiniz sayfaya bir göz atın. Dikkatimizi çeken bir diğer unsur, yazılımın arkasındaki lamerin özellikle uzun süre görüşülmeyen arkadaşlar tarafından mesaj attığı kanısına vardık.
Bunun gibi Minecraft sunucusu vakalarında sunucuları araştırın. İllaki ki 3-5 tane bile olsa bir oyuncu kitlesi vardır. Server IP'yi sorgulayın.
Böyle yazılımlar antivirüs programları tarafından tespit edilememek üzerine kurulur. Antivirüs elbette ki işe yarar, fakat tamamen güvenmek de bir yere kadar.
Mümkün olan bütün platformlarda Google Authenticator gibi çift aşamalı doğrulama yöntemleri kullanmak, aldığı cookieleri çoğu zaman işlevsiz kılacaktır.
Şimdi?
Whois kaydından sayfasından domainin turkticaret.net üzerinden kayıt edildiğini öğrendim.
[email protected] ile onlara ulaştım, ve onlara durumdan bahsettim. Gerekli işlemlerin başlatılmasını talep ettim.
Ayrıca, Steam desteğine de hardcoded API hakkında bahsettim, fakat bunun üzerinden bir işlem yapılacağını sanmıyorum.
Bedava hosting sitesi olan infinityfree kullanılmış.
GitHub - CanStealer/CanStealer burada da satış yapmaya çalışmış.
Gelişmelerden haberdar edeceğim, okuyan herkese teşekkür ederim.
PS: Birebir kendi gözü ile siteyi görmek isteyenler pinkcraftmc.com adresine gidebilir. Fakat sitenin muhtemelen IP logger içerebileceğini düşünmekte fayda var.
Neler hedef alınıyor?
Tarayıcı cookieleri, otomatik doldurma bilgileri, otomatik kredi kartı doldurma bilgileri, Discord hesabı & token bilgisi, Steam hesabınızın bilgileri (ne kadar oyun olduğuna, CS2 olup olmadığına göre filtreleniyor), Türk Minecraft sunucuları (SonOyuncu/CraftRise hesap bilgileri), masaüstünüzdeki dosyalar, ve anlık ekran görüntüsü alınıyor.
Nasıl yayılıyor?
Tuzak birden fazla uygulamalar vasıtası ile, kurbanlar çekiliyor, ve kurbanların Discord hesabı üzerinden uzun süredir konuşmadığı arkadaşlarına mesaj atılıyor:
Bizim vakamızda bir Minecraft sitesi altından çıktı, fakat bu sitenin bile herkese açık görünen kodlarında bariz bir şekilde olay belliydi. Üstelik sitede gallery yok, arkaplandaki video başka bir sunucudan çalıntı.
Nasıl çalışıyor?
Siteden indirilen dosya bir. Jar dosyası. Bu dosya; virüs programlarında ve diğer online tarama sitelerinde zararsız gözükecek, ki asıl amaçlanan da bu imiş zaten.
Dönen olay şu, bu. Jar dosyasının tek amacı zararsız gözükmesi. Çünkü asıl hedef arka planda zararlı. MSI dosyasını indirmek.
İndirilen. MSI dosyasını lessmsi yazılımı ile extractladık. İlk dikkat çeken şey ise streamable yazılımının ikonuna sahip olması. Ki ileride bununla ilgili daha fazla şeyler göreceğiz.
Buradaki bütün .dll ve .exe dosyaları da temiz. Asıl olay, resources klasöründeki App. Asar arşivinde. Basit bir ZIP yazılımı ile bunu çıkarabiliyoruz.
Çıkardığımız zaman, main.js adında bir betik ortaya çıkıyor.
İçeriğinde; uygun Java sürümü kurulumu ve zararlı. Jar dosyasının indirilmesi var. PowerShell execution bypass kullanarak güvenlik engellerini aşıyor ve çalıştırıyor. Ayrıca abartılı yorum satırlarından anladığımız kadarıyla bütün sistem yapay zekaya yaptırılmış.
Bu javas. Jar isimli dosyayı da basit bir ZIP programı ile inceleyip ana koda ulaşabiliyoruz.
Bütün hepsini cfr ile decode edip, ana kodlarına ulaşabiliyoruz. Altyapı amatörce hazırlanmış, gizlenmeye çalışılan her şey basitçe kırılabiliyor ve hepsi Yapay zekâ ile oluşturulmuş.
Önemli dosyaların ne yaptığı tek tek şu şekildedir:
| Class | Açıklama |
|---|---|
| root/1.class | Ana dosya, java dosyası ilk çalıştırıldığında bu modül çalışır. Aşağıdaki her şeyi tetikleyendir. "Video Creator" adında sahte bir görünüm oluşturur, ve bu da muhtemelen bahsettiğimiz Streamable ile ilgilidir. |
| 0b.class | Bütün tarayıcıları kapatır. Çünkü tarayıcılar açıkken Cookie ve otomatik doldurma bilgilerinin yazılı olduğu dosyalar kilitlidir. |
| 0a.class | Chromium tabanlı tarayıcıların Local State JSON dosyasını okur, içindeki os_crypt.encrypted_key değerini alır, Base64 decode eder ve Windows'a özgü Data Protection API ile çözer. Bu key, tüm şifre ve cookie şifrelerini açmak için kullanılır. 0c, 0d, 0e, 0f, 0g hepsi bunu çağırır. |
| 5 & 6 & 0c & 0d & 0e & 0f & 0g.class | Bir önceki 0a.class dosyası ile Chromium tabanlı tarayıcıların master keyini alır. 1'den 30'a kadar bütün profillerin SQLite dosyalarını alır, ve bilgileri sorgular. Dikkat çeken bir husus: "=========<CAN Stealer>==========" ibaresi bulunur. Yazılımın arkasındaki lamerin adı muhtemelen Can, veya bir şeyin kısaltmasıdır. |
| 0s ve 0t.class | Yine belirtilen tarayıcılarda, Chrome Devtools ile bütün cookieleri alır. |
| 0p.class | Firefox tabanlı tarayıcılarda çalışan halidir. Firefox'un profil dosyalarında SQLite araması yapar. |
| 0k.class | "%APPDATA%/discord/Local Storage/leveldb/" içindeki bütün .ldb dosyalarını raw bir şekilde okur, ve Discord'un obfuscate regex'i ile okur. Gerekli bilgileri Decrypt eder. |
| 0i.class | Steam API'den hesabınızın bilgilerinin çekildiği yerdir. loginusers.vdf dosyasından sizin SteamID'nizi çeker, ve API'de sorgulatır. Hardcoded bir API key kullanılmıştır: 440D7F4D810EF9298D25EDDF37C1F902 |
| 7.class | Masaüstündeki .txt dosyalarını alır. |
| 1.class | CraftRise şifre çözücü. Belirli AES şifreleri kullanılarak dekripte edilmiştir. Güvenlik için nasıl çalıştığını tam olarak anlatmayacağım, çünkü CraftRise bilgileri bilgisayarda user:şifre olarak barınıyor direkt olarak. Exploit edilebilir |
| 2.class | SonOyuncu hesap bilgisi çekici. Herhangi bir şekilde giriş bilgisi alamaz. %APPDATA%\.sonoyuncu\config.json'daki username değişkenini alır. |
| 0m.class | Bütün çalıntı bilgilerin belirli bir klasör altında toplanıldığı yerdir. Anlık ekran görüntüsü de alır. |
| 0j.class | Burada diğer bilgiler çekilir. CraftRise, SonOyuncu, Steam hesap bilgilerinizin, ve diğer bilgilerinizin toplanmış halinin gofile.io'ya yüklenip bir Discord Webhook'una gönderilmesi. canstealer.com/mit2 URL'sine POST ile gönderilir. |
| 0h.class | Belirlenen Github adresindeki .txt dosyasının içeriğinde bir URL vardır. Bu URL'deki dosyayı indirir, ve bilgisayar her açıldığında kendini başlatmasını sağlar. |
| 0r & 0.class | "Streamable - Video Code Creator" adında bir sahte arayüz oluşturur. |
| 9.class | Tüm çalınan dosyaları (cookies*.txt, password*.txt, autofills*.txt, cards*.txt, edgepass.txt, fireck.txt... toplam ~120 dosya adı listesi) arar, cnstl.zip içinde toplar, 0q ile gofile.io'ya yükler, Download linkini webhook'a gönderir. Mesajda: "hey ya**akin oglunun dosyalarini cektim" yazar. |
| 8.class | Bütün oluşturulan klasörleri, dosyaları temizler. |
| 0l.class | aHR0cHM6Ly9jYW5zdGVhbGVyLmNvbS9taXQy → https://canstealer.com/mit2 (Discord webhook) aHR0cHM6Ly9jYW5zdGVhbGVyLmNvbQ== → https://canstealer.com |
Ve, birden fazla yerde streamable ile ilgili referanslar buldum.
Nasıl dikkat etmeliyiz?
Arkadaşınızdan gelen bir mesaj olsa dahi bir dosya indirirken indirdiğiniz sayfaya bir göz atın. Dikkatimizi çeken bir diğer unsur, yazılımın arkasındaki lamerin özellikle uzun süre görüşülmeyen arkadaşlar tarafından mesaj attığı kanısına vardık.
Bunun gibi Minecraft sunucusu vakalarında sunucuları araştırın. İllaki ki 3-5 tane bile olsa bir oyuncu kitlesi vardır. Server IP'yi sorgulayın.
Böyle yazılımlar antivirüs programları tarafından tespit edilememek üzerine kurulur. Antivirüs elbette ki işe yarar, fakat tamamen güvenmek de bir yere kadar.
Mümkün olan bütün platformlarda Google Authenticator gibi çift aşamalı doğrulama yöntemleri kullanmak, aldığı cookieleri çoğu zaman işlevsiz kılacaktır.
Şimdi?
Whois kaydından sayfasından domainin turkticaret.net üzerinden kayıt edildiğini öğrendim.
[email protected] ile onlara ulaştım, ve onlara durumdan bahsettim. Gerekli işlemlerin başlatılmasını talep ettim.
Ayrıca, Steam desteğine de hardcoded API hakkında bahsettim, fakat bunun üzerinden bir işlem yapılacağını sanmıyorum.
Bedava hosting sitesi olan infinityfree kullanılmış.
GitHub - CanStealer/CanStealer burada da satış yapmaya çalışmış.
Gelişmelerden haberdar edeceğim, okuyan herkese teşekkür ederim.
PS: Birebir kendi gözü ile siteyi görmek isteyenler pinkcraftmc.com adresine gidebilir. Fakat sitenin muhtemelen IP logger içerebileceğini düşünmekte fayda var.
Son düzenleyen: Moderatör:
İyi bir analiz olmuş. Hedef kitle sadece Minecraft oynayan kişilerden oluştuğu için gizlenmeye pek dikkat etmemişlerdir. Nasıl edileceğini de bilmiyordur zaten yapay zeka ne yazdıysa onu kullanıyorlar. Ama görünen o ki cami duvarına işemişler. Umarım kuvvetli bir ceza alır ilgili lamer arkadaş.
