{"id":6322,"date":"2024-03-24T17:38:06","date_gmt":"2024-03-24T16:38:06","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6322"},"modified":"2024-03-24T17:38:06","modified_gmt":"2024-03-24T16:38:06","slug":"zlonamjerni-akteri-reklamiraju-glorysprout","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2024\/03\/24\/zlonamjerni-akteri-reklamiraju-glorysprout\/","title":{"rendered":"Zlonamjerni akteri reklamiraju GlorySprout"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">Zlonamjerni akteri<\/a> reklamiraju <em>GlorySprout<\/em> kradljivac informacija na popularnim hakerskim forumima. Ukradene informacije se mogu koristiti u brojnim zlonamjernim radnjama kao \u0161to su <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/07\/identity-theft\/\" target=\"_blank\" rel=\"nofollow noopener\">kra\u0111a identiteta<\/a>, finansijska prevara ili hakovanje naloga.<\/span><\/p>\n<div id=\"attachment_6323\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6323\" class=\"size-full wp-image-6323\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/GlorySprout.jpg\" alt=\"GlorySprout \" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/GlorySprout.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/GlorySprout-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/GlorySprout-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/GlorySprout-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/GlorySprout-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/GlorySprout-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/GlorySprout-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6323\" class=\"wp-caption-text\"><em>Zlonamjerni akteri reklamiraju GlorySprout; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"http:\/\/sajberinfo.com\/en\/2024\/03\/24\/zlonamjerni-akteri-reklamiraju-glorysprout\/#GLORYSPROUT\" >GLORYSPROUT<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"http:\/\/sajberinfo.com\/en\/2024\/03\/24\/zlonamjerni-akteri-reklamiraju-glorysprout\/#FUNKCIONISANJE\" >FUNKCIONISANJE<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"http:\/\/sajberinfo.com\/en\/2024\/03\/24\/zlonamjerni-akteri-reklamiraju-glorysprout\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"http:\/\/sajberinfo.com\/en\/2024\/03\/24\/zlonamjerni-akteri-reklamiraju-glorysprout\/#ZASTITA\" >ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"GLORYSPROUT\"><\/span><span style=\"font-size: 14pt;\"><strong><em>GLORYSPROUT<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">U mart u 2024. Godine, <a href=\"https:\/\/cybersecuritynews.com\/hackers-glorysprout-stealer-advertising\/\" target=\"_blank\" rel=\"noopener\">primije\u0107eno je<\/a> da sa neko sa nadimkom <em>GlorySprout <\/em>pojavio na <em>XSS<\/em> forumu reklamiraju\u0107i novi kradljivac podataka. Cijena je 300 ameri\u010dkih dolara i dolazi sa dvadesetodnevnom uslugom <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanja<\/a>. Kradljivac podatak je napisan <em>C++<\/em> programskom jeziku i ima funkcije kao \u0161to su modul za u\u010ditavanje, <em>Anti-CIS<\/em> izvr\u0161avanje i <em>Grabber<\/em> modul koji ne radi.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Nisu potvr\u0111ene mogu\u0107nosti <a href=\"https:\/\/sajberinfo.com\/en\/2021\/10\/01\/keyloggers\/\" target=\"_blank\" rel=\"nofollow noopener\">pra\u0107enja unosa korisnika<\/a> (eng. <em>keylogging<\/em>) i mjere detekcije virtualnih ma\u0161ina. <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">Zlonamjerni softver<\/a> odr\u017eava <a href=\"https:\/\/sajberinfo.com\/en\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervnu kopiju<\/a> dnevnika unosa i zabranu odre\u0111enih zemalja, odnosno <em>IP<\/em> adresa.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"FUNKCIONISANJE\"><\/span><span style=\"font-size: 14pt;\"><strong>FUNKCIONISANJE<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver <em>GlorySprout<\/em> koristit <em>API<\/em> he\u0161iranje za dinami\u010dko <em>API<\/em> rje\u0161avanje iz biblioteka kao \u0161to su <em>shell32.dll<\/em>, <em>user32.dll<\/em> i drugih, koriste\u0107i operacije kao \u0161to su mno\u017eenje, sabiranje, <em>XOR<\/em> i pomjeranje. Zlonamjerni softver zamagljuje nizove preko <em>XOR<\/em> i aritmeti\u010dke zamjene, a postojanost se posti\u017ee putem zakazanog zadatka koji pokrec\u0301e ispu\u0161teni korisni teret sa lokacije <em>%TEMP%<\/em>.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ako zlonamjerni softver koristi modul za u\u010ditavanje, ime korisnog opterec\u0301enja od 8 znakova se nasumi\u010dno generi\u0161e iz unaprijed definisanog niza koriste\u0107i funkciju koja se tako\u0111e koristi za generisanje imena datoteka za <em>C2<\/em> komunikaciju i <em>RC4<\/em> klju\u010da za kompresovanje prikupljenih podataka. Me\u0111utim, ova funkcija ne generi\u0161e uvijek zaista nasumi\u010dne nizove.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>C2<\/em> adresa se preuzima iz odjeljka resursa de\u0161ifrovanog korisnog opterec\u0301enja, a komunikacija se izgleda odvija preko porta 80 tako \u0161to \u0161alje <em>POST<\/em> zahtev sa \u010dvrsto kodiranim nizom korisni\u010dkog agenta. <em>BotID<\/em> se <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifruje<\/a> pomo\u0107u <em>RC4<\/em> i generi\u0161e iz klju\u010da kreiranog pomo\u0107u nepromjenljive funkcije, pa stoga uprkos navodima o nasumi\u010dnoj varijanti, ista vrijednost koja se koristi za prve prijave.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Nakon infekcije ure\u0111aja, dolazi do prikupljanja <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/16\/podaci-uvod-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">podataka<\/a> u kompresovanu <em>ZIP<\/em> datoteku koja se \u0161alje <em>POST<\/em> zahtjeva, a nakon potvrdnog odgovora prijema do prekida komunikacije. <em>RC4<\/em> klju\u010d za \u0161ifrovanje <em>ZIP<\/em> datoteke se sastoji od prvih 10 bajtova iz \u0161ifrovanog <em>BotID<\/em> niza.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Analiza je na kraju pokazala da je zlonamjerni softver <em>GlorySprout<\/em> modifikovana verzija <em>Taurus<\/em> <em>Stealer<\/em> zlonamjernog softvera. Treba napomenuti da <em>GlorySprout<\/em> nema mogu\u0107nost preuzimanja drugih <em>DLL<\/em> zavisnih datoteka sa <em>C2<\/em> servera i nedostaju mu mjere detekcije virtualnih ma\u0161ina za razliku od <em>Taurus<\/em> <em>Stealer<\/em> zlonamjernog softvera.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Porast zlonamjernog softvera za kra\u0111u informacija posljednjih mjeseci omogu\u0107io je zlonamjernim akterima da dobiju pristup ure\u0111ajima \u017ertava. Postalo je veoma uobi\u010dajeno da zlonamjerni akteri provode vreme u ciljnom okru\u017eenju, prikupljaju povjerljive informacije, bolje razumiju okru\u017eenje \u017ertve i prilago\u0111avaju napad tako da nametnu maksimalnu \u0161tetu, pomjeraju se bo\u010dno i pove\u0107avaju privilegije kako bi odr\u017eali upornost i maksimizirali svoj prihod.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Me\u0111utim, nedostatak karakteristika koje posjeduju drugi kradljivci podataka koji su trenutno u prodaji, mo\u017ee dovesti do toga da <em>GlorySprout<\/em> te\u0161ko postane popularan me\u0111u potencijalnim korisnicima.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Da bi ubla\u017eili rizike povezane sa <em>GlorySprout<\/em> zlonamjernim softverom, korisnici treba da daju prioritet sljede\u0107im mjerama sajber bezbjednosti:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">A\u017euriranje svih ure\u0111aja i softvera je klju\u010dno za smanjenje rizika od infekcije zlonamjernim softverom. Proizvo\u0111a\u010di \u010desto objavljuju bezbjednosna a\u017euriranja i ispravke kako bi rije\u0161ili probleme poznatih ranjivosti. Blagovremenom primjenom ovih a\u017euriranja, korisnici mogu da zatvore potencijalne ulazne ta\u010dke,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti provjerena <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosna rije\u0161enja<\/a> opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i sprije\u010dile zlonamjerne aktivnosti,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Potrebno je biti oprezna sa dolaznom elektronskom po\u0161tom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatno\u0107e da \u0107e pokrenuti proces infekcije ure\u0111aja,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Edukacija korisnika o <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>prijetnjama, nagla\u0161avaju\u0107i rizike povezane sa otvaranjem priloga ili klikom na linkove u ne\u017eeljenim elektronskoj po\u0161ti, kao i obuka za prepoznavanje taktika socijalnog in\u017eenjeringa koje koriste zlonamjerni akteri, omogu\u0107ava korisnicima da izbjegnu da postanu \u017ertve obmanjujuc\u0301ih trikova koji vode ka izvr\u0161avanju zlonamjernih datoteka,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Izbjegavati preuzimanje i instaliranje softvera iz nepouzdanih izvora,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Biti oprezan prilikom pretra\u017eivanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadr\u017ee zlonamjerni softver koji mo\u017ee zaraziti ure\u0111aj prilikom otvaranja takvih stranica.<\/span><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Zlonamjerni akteri reklamiraju GlorySprout kradljivac informacija na popularnim hakerskim forumima. Ukradene informacije se mogu koristiti u brojnim zlonamjernim radnjama kao \u0161to su kra\u0111a identiteta, finansijska prevara ili hakovanje naloga. GLORYSPROUT U mart u 2024.&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6323,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[906,867,904,559,148,93,907,908,819,905],"class_list":["post-6322","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-api","tag-c","tag-glorysprout","tag-identity-theft","tag-infostealer","tag-malware","tag-post","tag-taurus-stealer","tag-xor","tag-xss-forum"],"_links":{"self":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6322","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6322"}],"version-history":[{"count":0,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6322\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6323"}],"wp:attachment":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6322"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6322"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6322"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}