Zlonamjerni akteri reklamiraju GlorySprout

AUTOR ·

Zlonamjerni akteri reklamiraju GlorySprout kradljivac informacija na popularnim hakerskim forumima. Ukradene informacije se mogu koristiti u brojnim zlonamjernim radnjama kao što su krađa identiteta, finansijska prevara ili hakovanje naloga.

GlorySprout

Zlonamjerni akteri reklamiraju GlorySprout; Source: Bing Image Creator

GLORYSPROUT

U mart u 2024. Godine, primijećeno je da sa neko sa nadimkom GlorySprout pojavio na XSS forumu reklamirajući novi kradljivac podataka. Cijena je 300 američkih dolara i dolazi sa dvadesetodnevnom uslugom šifrovanja. Kradljivac podatak je napisan C++ programskom jeziku i ima funkcije kao što su modul za učitavanje, Anti-CIS izvršavanje i Grabber modul koji ne radi.

Nisu potvrđene mogućnosti praćenja unosa korisnika (eng. keylogging) i mjere detekcije virtualnih mašina. Zlonamjerni softver održava rezervnu kopiju dnevnika unosa i zabranu određenih zemalja, odnosno IP adresa.

 

FUNKCIONISANJE

Zlonamjerni softver GlorySprout koristit API heširanje za dinamičko API rješavanje iz biblioteka kao što su shell32.dll, user32.dll i drugih, koristeći operacije kao što su množenje, sabiranje, XOR i pomjeranje. Zlonamjerni softver zamagljuje nizove preko XOR i aritmetičke zamjene, a postojanost se postiže putem zakazanog zadatka koji pokreće ispušteni korisni teret sa lokacije %TEMP%.

Ako zlonamjerni softver koristi modul za učitavanje, ime korisnog opterećenja od 8 znakova se nasumično generiše iz unaprijed definisanog niza koristeći funkciju koja se takođe koristi za generisanje imena datoteka za C2 komunikaciju i RC4 ključa za kompresovanje prikupljenih podataka. Međutim, ova funkcija ne generiše uvijek zaista nasumične nizove.

C2 adresa se preuzima iz odjeljka resursa dešifrovanog korisnog opterećenja, a komunikacija se izgleda odvija preko porta 80 tako što šalje POST zahtev sa čvrsto kodiranim nizom korisničkog agenta. BotID se šifruje pomoću RC4 i generiše iz ključa kreiranog pomoću nepromjenljive funkcije, pa stoga uprkos navodima o nasumičnoj varijanti, ista vrijednost koja se koristi za prve prijave.

Nakon infekcije uređaja, dolazi do prikupljanja podataka u kompresovanu ZIP datoteku koja se šalje POST zahtjeva, a nakon potvrdnog odgovora prijema do prekida komunikacije. RC4 ključ za šifrovanje ZIP datoteke se sastoji od prvih 10 bajtova iz šifrovanog BotID niza.

Analiza je na kraju pokazala da je zlonamjerni softver GlorySprout modifikovana verzija Taurus Stealer zlonamjernog softvera. Treba napomenuti da GlorySprout nema mogućnost preuzimanja drugih DLL zavisnih datoteka sa C2 servera i nedostaju mu mjere detekcije virtualnih mašina za razliku od Taurus Stealer zlonamjernog softvera.

 

ZAKLJUČAK

Porast zlonamjernog softvera za krađu informacija posljednjih mjeseci omogućio je zlonamjernim akterima da dobiju pristup uređajima žrtava. Postalo je veoma uobičajeno da zlonamjerni akteri provode vreme u ciljnom okruženju, prikupljaju povjerljive informacije, bolje razumiju okruženje žrtve i prilagođavaju napad tako da nametnu maksimalnu štetu, pomjeraju se bočno i povećavaju privilegije kako bi održali upornost i maksimizirali svoj prihod.

Međutim, nedostatak karakteristika koje posjeduju drugi kradljivci podataka koji su trenutno u prodaji, može dovesti do toga da GlorySprout teško postane popularan među potencijalnim korisnicima.

 

ZAŠTITA

Da bi ublažili rizike povezane sa GlorySprout zlonamjernim softverom, korisnici treba da daju prioritet sljedećim mjerama sajber bezbjednosti:

  • Ažuriranje svih uređaja i softvera je ključno za smanjenje rizika od infekcije zlonamjernim softverom. Proizvođači često objavljuju bezbjednosna ažuriranja i ispravke kako bi riješili probleme poznatih ranjivosti. Blagovremenom primjenom ovih ažuriranja, korisnici mogu da zatvore potencijalne ulazne tačke,
  • Koristiti provjerena sigurnosna riješenja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i spriječile zlonamjerne aktivnosti,
  • Potrebno je biti oprezna sa dolaznom elektronskom poštom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatnoće da će pokrenuti proces infekcije uređaja,
  • Edukacija korisnika o phishing prijetnjama, naglašavajući rizike povezane sa otvaranjem priloga ili klikom na linkove u neželjenim elektronskoj pošti, kao i obuka za prepoznavanje taktika socijalnog inženjeringa koje koriste zlonamjerni akteri, omogućava korisnicima da izbjegnu da postanu žrtve obmanjujućih trikova koji vode ka izvršavanju zlonamjernih datoteka,
  • Izbjegavati preuzimanje i instaliranje softvera iz nepouzdanih izvora,
  • Biti oprezan prilikom pretraživanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadrže zlonamjerni softver koji može zaraziti uređaj prilikom otvaranja takvih stranica.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.