Aktif olarak geliştirilmekte olan Golang tabanlı yeni bir botnet, operatörleri her yeni komut ve kontrol (C2) sunucusu dağıttığında yüzlerce Windows cihazını tuzağa düşürüyor.
İlk olarak Ekim 2021’de, onu adlandıran ZeroFox araştırmacıları tarafından tespit edildi. Krakenbu önceden bilinmeyen botnet, Duman Yükleyici yeni Windows sistemlerine yaymak için arka kapı ve kötü amaçlı yazılım indiricisi.
Yeni bir Windows cihazına bulaştıktan sonra botnet, sistem yeniden başlatmaları arasında kalıcılığı sağlamak için yeni bir Kayıt Defteri anahtarı ekler. Ayrıca, kurulum dizininin hiçbir zaman taranmadığından emin olmak için bir Microsoft Defender istisnası ekler ve gizli özniteliği kullanarak ikili dosyasını Pencere Gezgini’nde gizler.
Kraken, saldırganların RedLine Stealer kötü amaçlı yazılımı da dahil olmak üzere, güvenliği ihlal edilmiş cihazlarda ek kötü amaçlı yükleri indirmesine ve yürütmesine olanak tanıyan sınırlı ve basit bir özellik kümesine sahiptir.
RedLine şu anda en yaygın olarak dağıtılan kurbanların şifrelerini, tarayıcı çerezlerini, kredi kartı bilgilerini ve kripto para cüzdan bilgilerini toplayabilen bilgi hırsızı.
ZeroFox, “Ekim 2021’den Aralık 2021’e kadar Kraken kurbanlarına gönderilen izleme komutları, operatörün tamamen bilgi hırsızlarını, özellikle de RedLine Stealer’ı zorlamaya odaklandığını ortaya koydu.” Dedi.
“Operatörün toplanan çalıntı kimlik bilgileriyle ne yapmak istediği veya bu yeni botnet’i oluşturmak için nihai hedefin ne olduğu şu anda bilinmiyor.”
Yerleşik kripto cüzdan hırsızlığı yetenekleri
Bununla birlikte, botnet ayrıca yerleşik bilgi hırsızlığı özelliklerine sahiptir ve diğer bilgi hırsızlarını ve kripto para madencilerini bırakmadan önce kripto cüzdanlarını çalabilir.
ZeroFox’a göre Kraken, Zcash, Armory, Bytecoin, Electrum, Ethereum, Exodus, Guarda, Atomic ve Jaxx Liberty kripto cüzdanlarından bilgi çalabilir.
Ethermine kripto para madenciliği havuzundan toplanan bilgilere dayanarak, bu botnet, ustalarının cüzdanlarına her ay yaklaşık 3.000 USD ekliyor gibi görünüyor.
Araştırmacılar, “Geliştirme sırasında, Kraken C2’ler sık sık ortadan kayboluyor gibi görünüyor. ZeroFox, bir sunucu için birden çok kez azalan aktivite gözlemledi, ancak kısa bir süre sonra bir başkası yeni bir bağlantı noktası veya tamamen yeni bir IP kullanarak ortaya çıktı,” dedi. katma.
Bununla birlikte, “yaymak için SmokeLoader’ı kullanarak Kraken, operatör C2’yi her değiştirdiğinde hızla yüzlerce yeni bot kazanıyor.”