Genel Bakış

Bu örnek; Chrome, Firefox, Chromium, Comodo Dragon ve Yandex Browser'ı hedefleyen, AES-GCM şifre çözme ve DPAPI entegrasyonlu kapsamlı bir tarayıcı parola hırsızıdır. GCC 9.1.0 (MSYS2) ile derlenmiş, Nettle 3.5.1 kriptografi kütüphanesini kullanan binary; NtUnmapViewOfSection tabanlı process hollowing ile gizlenmektedir.

Teknik Analiz

Hedef Tarayıcılar ve Çalınan Veriler

  • Google Chrome: %s\Google\Chrome\User Data\Default\Login Data / Local State
  • Chromium: %s\Chromium\User Data\Default\Login Data
  • Comodo Dragon: %s\Comodo\Dragon\User Data\Default\Login Data
  • Yandex Browser: %s\Yandex\YandexBrowser\User Data\Default\Login Data
  • Mozilla Firefox: encryptedUsername, encryptedPassword

Şifrelerin çözülmesi için encrypted_key alanı (Local State JSON'dan) DPAPI ile çözülmekte, ardından AES-GCM kullanılmaktadır.

Şifreleme Altyapısı

  • Nettle 3.5.1: Açık kaynak kriptografi kütüphanesi — AES-CBC, AES-GCM, AES-ECB desteği
  • ../nettle-3.5.1/aes-encrypt.c, ../nettle-3.5.1/gcm.c
  • Windows DPAPI: CryptUnprotectData ile tarayıcı master key çözme
  • Hash: CryptCreateHash/CryptHashData/CryptGetHashParam

Process Hollowing

  • NtUnmapViewOfSection — hedef süreç belleğini boşaltma
  • CreateProcessA — askıya alınmış süreç
  • VirtualAlloc — yeni payload alanı

Kalıcılık (Persistence)

  • RegCreateKeyExA, RegSetValueExA → registry'e kayıt
  • GetUserNameW → kullanıcı kimliği tespiti

C2 İpuçları

T4 C2W, HostId, Host: %s stringleri dinamik C2 yapılandırmasına işaret etmektedir. zCQi5TsdRzCQi5 gibi obfüske edilmiş config değerleri tespit edilmiştir. C2 adresi binary içinde statik olarak bulunamamıştır; büyük ihtimalle runtime'da çözülmektedir.

Teknik Propriétéler

PropriétéValeur
ArchitecturePE32 (x86) GUI
DerleyiciGCC 9.1.0 (Rev3, MSYS2)
KriptografiAES-GCM/CBC (Nettle 3.5.1) + DPAPI
EnjeksiyonProcess Hollowing (NtUnmapViewOfSection)
Bölüm sayısı7 (.eh_frame ve .bss dahil)
Entropi6.31 (normal)

IOC Özeti

  • SHA256: 73cf4c1de3510d4010419a34a87b341c18d6144080988d23abe965bed3d73a5e

Liste IOC (1 indicateurs)

IOC — Browser Stealer
# SHA256 73cf4c1de3510d4010419a34a87b341c18d6144080988d23abe965bed3d73a5e
TypeValeurNote
sha256 73cf4c1de3510d4010419a34a87b341c18d6144080988d23abe965bed3d73a5e
Tags
stealerbrowserchromefirefoxaes-gcmdpapinettleprocess-hollowingntunmapviewofsectiongccregistry