Prynt – C/C++ Steal Dizinlerinde Yazılmış Gizli Kötü Amaçlı Yazılımlar, İşlem Enjeksiyonu Kullanan Kimlik Bilgileri
Karmaşık ve sofistike saldırılar üretmek için, "Prynt" gibi bilgi hırsızları tehdit aktörleri tarafından kullanılır.
Bu hırsızları, hedeflenen kuruluşlardan ve bireylerden temel bilgileri çalmak için kullanırlar. Bu karmaşık saldırılar aynı zamanda tehdit aktörlerinin karmaşık yükler ve fidye yazılımları dağıtmasına olanak tanır.
Son zamanlarda, CYFIRMA Araştırma ekibindeki siber güvenlik analistleri, Prynt bilgi hırsızının kullanımının artmakta olduğu raporunu Cyber Security News ile paylaştı. Tehdit aktörlerinin Prynt'i yapılandırmasının yaygın bir yolu, kötü amaçlı yazılımın daha sonra verimli bir şekilde yapılandırılabilmesi için "oluşturucu" olarak bilinen bir aracın yardımıyladır.
Prynt Kötü Amaçlı Yazılım Analizi
Yakın zamanda CYFIRMA'daki güvenlik analistleri tarafından C / C ++ ile yazılmış ve "Prynt" olarak adlandırılan 32 bit konsol ikili dosyası olan bir bilgi hırsızı içeren genel bir depodan bir örnek toplandı ve analiz edildi.
Virüslü sistemlerden, Prynt aşağıdaki temel bilgileri çalma yeteneğine sahiptir:
- Dosyaları ve işlemleri detaylandırma
- İşlemleri gizleme
- Kodu PE dosyalarına enjekte etme
- Web tarayıcılarından kimlik bilgilerini çalma
- Kayıt defteri değişiklikleri
- Arka kapı üzerinden ağ iletişimi
- Ekran görüntüleri yakalayın
- Hedeflenen dizinlerden dosya çalma
- Sistem Bilgilerini Toplama
Prynt, süreç enjeksiyonu için tersine mühendislik ve bellek adli tıp analizinden yararlanır. Prynt tarafından oluşturulan kötü amaçlı kodu meşru AppLaunch.exe sürecine enjekte etmek için tehdit aktörü bu karmaşık tekniği kullanır.
Kötü amaçlı kodu başka bir işlemde çalıştırmanın, kötü amaçlı kodun bu işlemin kaynaklarına erişmesine izin verme olasılığı vardır, örneğin:
- Bellek
- Sistem
- Ağ
Prynt Statik Verileri
- Dosya: Prynt.Exe
- Subsystem: Console
- MD5: Bcd1e2dc3740bf5eb616e8249d1e2d9c
- SHA1: 230f401260805638aa683280b86af2231cf73f93
- SHA256: 04b528fa40c858bf8d49e1c78f0d9dd7e3bc824d79614244f5f104baae628f8f Dosya Türü: PE32 Yürütülebilir (Console) Intel 80386, MS Windows için
Hedefler Ve Bölgeler
Aşağıdaki coğrafi bölgelerden gelen tehdit aktörleri, "Prynt" bilgi hırsızına dayanan saldırıların çoğundan birincil derecede sorumlu olmuştur:
- Rusya
- Çin
- Kuzey Kore
Bu kampanyalarda, tehdit aktörleri 40'tan fazla ülkeden kuruluşları hedef aldı ve hedeflenen endüstriler şunlardır:
- Çok Hatlı Perakende
- Sağlık
- Otomotiv
- Hükümet
- Endüstriyel Holdingler
- BT Hizmetleri
- Finansal Hizmetler
- Terleme Altyapısı
- Medya ve Eğlence
- Petrol ve Gaz
- Emlak
- Yiyecek & İçecek
- Konukseverlik
- İnşaat
- Teknoloji
- Ev Ürünü
Bazı Tehdit Aktörlerinin, saldırılarında kullanılan yüklerin çeşitliliğini genişletmek için RedLine hırsızı ile birlikte Prynt bilgi hırsızını kullandıkları bildiriliyor.
Mevcut tehdit ortamına, yaygın olarak kullanılan kötü amaçlı yazılım biçimleri olan bilgi hırsızları hakimdir. Tehdit aktörleri, bilgi hırsızlarını esas olarak sistem verilerini ve üzerinde depolanan hassas verileri çalmak için kullanır.
Ayrıca, bu bilgiler tehdit aktörleri tarafından daha sonraki bir aşamada fidye yazılımı veya diğer siber saldırılar gerçekleştirmek için kullanılabilir.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News
