Genel Bakış
Bu örnek; Chrome, Firefox, Chromium, Comodo Dragon ve Yandex Browser'ı hedefleyen, AES-GCM şifre çözme ve DPAPI entegrasyonlu kapsamlı bir tarayıcı parola hırsızıdır. GCC 9.1.0 (MSYS2) ile derlenmiş, Nettle 3.5.1 kriptografi kütüphanesini kullanan binary; NtUnmapViewOfSection tabanlı process hollowing ile gizlenmektedir.
Teknik Analiz
Hedef Tarayıcılar ve Çalınan Veriler
- Google Chrome:
%s\Google\Chrome\User Data\Default\Login Data/Local State - Chromium:
%s\Chromium\User Data\Default\Login Data - Comodo Dragon:
%s\Comodo\Dragon\User Data\Default\Login Data - Yandex Browser:
%s\Yandex\YandexBrowser\User Data\Default\Login Data - Mozilla Firefox:
encryptedUsername,encryptedPassword
Şifrelerin çözülmesi için encrypted_key alanı (Local State JSON'dan) DPAPI ile çözülmekte, ardından AES-GCM kullanılmaktadır.
Şifreleme Altyapısı
- Nettle 3.5.1: Açık kaynak kriptografi kütüphanesi — AES-CBC, AES-GCM, AES-ECB desteği
../nettle-3.5.1/aes-encrypt.c,../nettle-3.5.1/gcm.c- Windows DPAPI:
CryptUnprotectDataile tarayıcı master key çözme - Hash:
CryptCreateHash/CryptHashData/CryptGetHashParam
Process Hollowing
NtUnmapViewOfSection— hedef süreç belleğini boşaltmaCreateProcessA— askıya alınmış süreçVirtualAlloc— yeni payload alanı
Kalıcılık (Persistence)
RegCreateKeyExA,RegSetValueExA→ registry'e kayıtGetUserNameW→ kullanıcı kimliği tespiti
C2 İpuçları
T4 C2W, HostId, Host: %s stringleri dinamik C2 yapılandırmasına işaret etmektedir. zCQi5TsdRzCQi5 gibi obfüske edilmiş config değerleri tespit edilmiştir. C2 adresi binary içinde statik olarak bulunamamıştır; büyük ihtimalle runtime'da çözülmektedir.
Teknik Propertyler
| Property | Value |
|---|---|
| Architecture | PE32 (x86) GUI |
| Derleyici | GCC 9.1.0 (Rev3, MSYS2) |
| Kriptografi | AES-GCM/CBC (Nettle 3.5.1) + DPAPI |
| Enjeksiyon | Process Hollowing (NtUnmapViewOfSection) |
| Bölüm sayısı | 7 (.eh_frame ve .bss dahil) |
| Entropi | 6.31 (normal) |
IOC Özeti
- SHA256:
73cf4c1de3510d4010419a34a87b341c18d6144080988d23abe965bed3d73a5e
IOC List (1 indicators)
IOC — Browser Stealer
# SHA256
73cf4c1de3510d4010419a34a87b341c18d6144080988d23abe965bed3d73a5e
| Type | Value | Note |
|---|---|---|
| sha256 | 73cf4c1de3510d4010419a34a87b341c18d6144080988d23abe965bed3d73a5e |