

Siber güvenlik alanında dünya lideri olan ESET, teknik tahlil, altyapı takibi ve bağlı kuruluş seviyesinde içgörüler sağlayarak Amadey botneti ile Stealc bilgi hırsızının faaliyetlerinin durdurulmasına yardımcı oldu.
ESET telemetri tespit oranları, Amadey’in makul bir bölgeye odaklanmaksızın global çapta gözlemlendiğini gösteriyor. En yüksek tespit oranları Hindistan, Türkiye, Mısır, Meksika ve İspanya’da gözlemlendi. Stealc de makul bir bölgeye odaklanmaksızın global olarak yayılırken en yüksek tespit oranları ABD, Polonya ve İtalya’da gözlemlendi.
ESET Research, teknik tahlil, altyapı takibi ve bağlı kuruluş seviyesinde içgörüler sağlayarak Amadey botneti ile Stealc bilgi hırsızının faaliyetlerinin durdurulmasına yardımcı oldu. Her ikisi de “kötü gayeli yazılım hizmeti” (MaaS) olarak işletiliyor. Microsoft Dijital Suçlar Birimi (DCU), BitSight, Lumen ve Mitsui Bussan Secure Directions (MBSD) tarafından koordine edilen operasyon, Amadey ve Stealc bağlı kuruluşları tarafından kullanılan tüm bilinen ağ altyapısını gaye alarak siber cürüm faaliyetlerini felce uğratmayı amaçladı. Birebir vakitte, Europol’un Avrupa Siber Suç Merkezi (EC3), Almanya Federal Kriminal Polis Dairesi ile Hollanda ve Danimarka Ulusal Polis Teşkilatları da dâhil olmak üzere Avrupalı kolluk kuvvetleri ortaklarıyla birlikte IBM ve Proofpoint ile ortaklaşa “Operation Endgame” kapsamında Stealc’i soruşturuyordu.
ESET, her iki berbat gayeli yazılım ailesini uzun periyodik olarak takip ederken topladığı teknik tahliller, istatistiksel bilgiler, bilinen komuta ve denetim (C&C) sunucuları, şifreleme anahtarları, kampanya ve derleme tanımlayıcıları ile öbür tehdit istihbaratlarını paylaşarak bu operasyonun başarısına katkıda bulundu.
Amadey ve Stealc’in engellenmesi çalışmalarına takviye veren ESET araştırmacısı Jakub Tomanek “ESET, son üç yıldır hem Amadey botnetini hem de Stealc bilgi hırsızını takip ediyor. Engelleme operasyonu kapsamında, işlenmiş berbat maksatlı yazılım örneklerinden elde edilen teknik göstergeler ve yapılandırma bilgilerinin yanı sıra 2025’in 4. çeyreğinden 2026’nın birinci yarısına kadar olan dönemi kapsayan istatistikleri paylaştık. Otomatik sistemlerimiz, Amadey ve Stealc örneklerini ayrıntılı bir biçimde inceliyor ve büyük ölçekli izleme için en değerli alanları tespit ediyor. Bunlar arasında C&C sunucuları, derleme tanımlayıcıları, şifreleme anahtarları, URL yolları, kampanya tanımlayıcıları ve berbat gayeli yazılım ailelerinin saldırganların denetimindeki altyapıyla irtibat kurarken kullandığı öbür gömülü pahalar yer alıyor,” açıklamasını yaptı.
Teknik tahlillerin, istatistiksel bilgilerin ve C&C sunucu listeleri, bağlı kuruluş tanımlayıcıları ve şifreleme anahtarları üzere tehdit istihbaratının paylaşılması, kolluk kuvvetlerinin altyapıları yüksek bir inanç derecesiyle tespit etmelerine, önceliklendirmelerine ve bunlara karşı harekete geçmelerine imkan tanıyor. Amadey, modüler bir berbat emelli yazılım yükleyicisidir. Ana hedefi, ele geçirilmiş sistemlere ek berbat maksatlı yazılımlar dağıtmak olmakla birlikte, data sızdırma ve uzaktan erişim için modüller de sunuyor. Buna karşılık Stealc, tipik bir “hizmet olarak bilgi hırsızı”. Kimlik bilgileri, çerezler, kripto para cüzdanları, tarayıcı uzantıları ve iş ortakları tarafından tanımlanan kalıplara uyan belgeleri gaye alıyor.
Her iki berbat maksatlı yazılım ailesi de hizmet olarak satılıyor ve darknet forumlarında tanıtılıyor. Her iki ekosistemde de iş ortakları, kendi sunucu altyapılarına kurulması gereken, kendi barındırdıkları bir idare paneli alırlar. Bu, iş ortaklarından muhakkak bir seviyede teknik marifet gerektirir ve onlara kurban dataları ve yük dağıtımı üzerinde direkt denetim sağlar. Dağıtım teknikleri son olarak her bir iş ortağına bağlı olsa da ESET telemetri bilgileri her iki berbat emelli yazılım ailesinin de çok çeşitli kanallar aracılığıyla yayıldığını dengeli bir biçimde göstermiştir. En yaygın yollar arasında uydurma yazılım güncellemeleri, kırılmış yazılım yükleyicileri ve üçüncü taraf berbat emelli yazılım yükleyicileri yer almaktadır.
Amadey, tekrar derleme başına ödeme modelini kullanıyor. Ortaklar bir lisans satın aldıktan sonra, yeni bir derleme oluşturmaları gerektiğinde (örneğin, yeni bir C&C sunucusuna geçiş yaparken) her seferinde ek bir fiyat ödüyor. Başka bir deyişle Amadey operatörleri iş ortaklarına bir derleme aracı sağlamadı; bunun yerine, örnekler her iş ortağı için talep üzerine derlendi. Hizmet, daha fazla bilgi sızdırma ve erişim için üç modül sunar: Panoya izleme modülü, kimlik bilgisi hırsızlığı modülü ve VNC tabanlı uzaktan erişim modülü. Hizmetin tek bir lisans için fiyatı Bitcoin cinsinden 600 ABD dolarıdır ve her tekrar derleme için ek 50 ABD doları fiyat alınıyor.
Stealc ise iş ortaklarına daha dostça bir yaklaşım benimsemiş ve abonelik kapsamında sınırsız derleme oluşturma imkânı sunuyor. Bu, C&C altyapısını değiştirmenin operasyonel maliyetini düşürmüş ve iş ortaklarının gereksinim duydukları anda yeni örnekler oluşturmasını kolaylaştırıyor. Web tarayıcıları, e-posta istemcileri, FTP istemcileri, oyun platformları, kripto para cüzdanı evrakları ve tarayıcı uzantıları tarafından depolanan kimlik bilgileri dâhil olmak üzere çok çeşitli bilgi kaynaklarını hedefliyor. Stealc, aylık abonelik olarak satılıyor ve en ucuz abonelik altı ay için 1.000 ABD doları.
Kimlik sahtekârlığı dolandırıcılıklarından kaçınmaya çalışan her iki operatör de darknet forumlarındaki potansiyel iş ortaklarına kendileriyle sadece resmî kanallar aracılığıyla irtibata geçmeleri konusunda açıkça talimat verdi. Amadey, alıcıları eserin tanıtıldığı darknet forumundaki özel iletilere yönlendirirken Stealc ise darknet forumlarındaki özel iletileri yahut Telegram’ı kullandı.
ESET, her iki ailenin faaliyetlerini izlemeye devam edecek ve operasyonun durdurulmasının akabinde operasyonel altyapıyı yine kurma teşebbüslerini takip edecek.
Kaynak: (BYZHA) Beyaz Haber Ajansı


