Vidar Stealer — Sahte Hile Piyasası Geri Dönüş ve Analiz Raporu
Araştırmacı Notu
Araştırmacı: Nullsans
Önceki Malwarebytes forum hesabım kapatıldı; analiz ve paylaşım için yeni hesabım aktif:
https://forums.malwarebytes.com/profile/323957-whitepumpkin/
Özet
Kısa: Sahte "Roblox / hile" pazarına gizlenen, DLL side‑loading ile tetiklenen ve Vidar Stealer v16.8 davranışı gösteren bir kampanya gözlemlenmiştir. Hedef kitle genelde 10–13 yaş aralığı gibi düşük güvenlik farkındalığına sahip kullanıcılar. Raporda yayılım, teknikte kullanılan altyapı, IOCs, davranış analizi ve temel önlemler detaylandırılmıştır.
Vidar Stealer Geri Döndü (Sahte hile piyasası geri dönüş ve analizi)
Selam araştırmacılar ve okuyucular, geçenlerde yine kendi analizlerim üzerinde uğraşırken yeni bir bulgu ile karşılaştım. Normalde sahte hile piyasası ciddi şekilde azalmıştı; VMProtect kullanan, C# / C++ tabanlı stealer malware örnekleri neredeyse ortadan kaybolmuş gibiydi. Ancak bugün yeni bir taktikle geri döndüklerini gördüm. Aşağıda süreci sahada gözlemlediğim şekliyle, adım adım ve detaylıca anlatıyorum.
1) Yayılım
Hedef kitle yine klasik: 10–13 yaş arası çocuklar. YouTube üzerinde “Roblox executor, exploit, free cheat” gibi videolar ile geri dönüş yapmış durumdalar. Önceki sahte hile piyasasıyla neredeyse birebir aynı mantık.
İlk yayılım
İlk virüs dağıtımının tam kaynağı net değil. Büyük ihtimalle sahte sponsorluklar, forum paylaşımları ya da görünüşte meşru olan yazılımlar kullanılıyor. Sonrasında çalınan hesaplar botlara bağlanıyor ve yayılım hızlandırılıyor.
Bot’a bağlama
Çalınan hesaplar bot ağına bağlandıktan sonra her biri neredeyse birbirinin aynısı videoları aynı YouTube ağında yayımlamaya başlıyor. İnsanlar bu videolardan farklı domain isimlerine yönlendiriliyor ve sahte web sitelerine çekiliyor. Sitelerin çoğu tamamen otomatik hazırlanmış, muhtemelen yapay zeka ile üretilmiş basit şablonlar.
İndirme & Çalıştırma
İndirme sonrasında zincirin en kritik noktası başlıyor. EXE dosyası zararsız gibi görünüyor ancak asıl yükleyici parça DLL formunda gizlenmiş durumda ve tetiklenince klasik stealer davranışı ortaya çıkıyor.
Kullanılan siteler:
- https://ryos.onl/
- https://nploits.com/
- https://bsrtxpli.lol/
2) Malware Analizi
- Aile: Vidar Stealer v16.8 (2025 build)
- SHA256: 691240a0afabdd89994e33347633ec6391b3b196255361aa0f7d7581e8765f2b
- Dosya: msedge_elf.dll (Temp klasörü)
- Tür: 32-bit .NET DLL
- Çalıştırma: rundll32.exe msedge_elf.dll,#1 (DLL side‑loading)
- C2 IP: 185.196.11.32 (Romanya / Amsterdam hosting)
Bu IP, 2024 sonu – 2025 başı Vidar kampanyalarında yüzlerce kez C2 olarak raporlanmış. Son 60 günde aşağıdaki domainlerle resolve olduğu görülüyor:
- updatechecker[.]top
- softupdates[.]su
- systemcare[.]xyz
3) VirusTotal & İlk Gözlemler
EXE dosyasını VirusTotal’a attığınızda çoğu zaman hiç tespit çıkmıyor. Çünkü ana zararlı DLL tarafında saklı. DLL tetiklenince sistem üzerinde bildiğimiz Vidar stealer aktiviteleri başlıyor.
4) Network Trafik
GET https://185.196.11.32/ 200 TCP 185.196.11.32:443 TCP 135.233.45.223:443
JA3 fingerprint hash’leri:
72a589da586844d7f0818ce684948eea 258a5a1e95b8a911872bae9081526644 4d93395b1c1b9ad28122fb4d09f28c5e dbc83dda403e0b9ee611257d2a8a82f0
5) Memory Pattern Bulguları
Domain izleri:
185.196.11.3 steamcommunity.com telegram.me upx.sf.net www.openssl.org
URL izleri:
http://upx.sf.net https://185.196.11.32 https://telegram.me/bul33bt https://steamcommunity.com/profiles/76561198765046918 https://www.openssl.org
Steam alınca insan ister istemez düşünüyor: "Steam ne alaka, hesap mı çalıyor?" Evet büyük ihtimalle olay tam olarak bu.
Profile girdiğimde aynı hesabın şu isimlerle oynadığını gördüm:
r#in uyu.jyhsolucion.ar| r#in ttr.jyhsolucion.ar| r#in fir.itermed.ar| r#in thu.itermed.ar| r#in bop.itermed.ar| r#in pec.itermed.ar| r#in jui.itermed.ar| r#in trp.itermed.ar|
Bingo. Bu nick yapıları direkt başka C2 node’lardaki subdomainleri işaret ediyor. Telegram tarafında da aynı kanallar üzerinden iletişim kuruluyor.
6) Handshake & Exfiltration
Malware aktif olur olmaz C2 ile handshake yapıyor: "Ben hazırım" sinyali. Birkaç saniye sonra aşağıdaki adreslere trafik başlıyor:
- t.me
- *.top, *.su, *.xyz, *.cfd, *.shop
- 149.255.xxx, 193.233.132.xxx, 91.241.19.xxx (Rus altyapıları)
- discord.com/api/webhooks
7) String & Kod Davranışı
- main.HikXosfJ.ReadAt – browser verileri ve wallet okuma fonksiyonları
- Obfuscation amaçlı rastgele Go‑vari struct isimleri
- PressureLevel, CoolantTemperature gibi sahte alan adları – camouflage
8) Anti‑Analysis
- WerSetFlags / WerGetFlags – crash gizleme
- AddVectoredExceptionHandler – debugger kaçırma
- VirtualAlloc, CreateThread, LoadLibraryExW gibi API çağrıları
Derleme çok ilginç: binary Go gibi davranıyor ama .NET wrapper var. Build bilgisi:
buildmode=c-shared GOOS=windows GOARCH=amd64 CGO_ENABLED=1
SignalInitializeCrashReporting fonksiyonu sahte crash raporu gibi davranırken aslında C2 bağlantısını başlatıyor.
9) jyhsolucion.ar & itermed.ar
Bunlar Arjantin kaynaklı ücretsiz .ar domainleri. Çalınan Steam hesaplarında test amaçlı kullanılmış. Eğer ban yemiyorsa hesap satılıyor.
10) Domain Kayıt Bilgileri
domain: jyhsolucion.ar created: 2025‑01‑29 nserver: kobe.ns.cloudflare.com nserver: liz.ns.cloudflare.com registrar: nicar registrant: 44fd73e4776b23ea
11) İlgili Dosyalar
msedge_elf.dll Wextract.exe rcu8t.exe pentapolis[1].exe _76443bb9810f...exe _55a02d14de13...exe
Sonuç
Uzun lafın kısası: Vidar Stealer açık şekilde geri döndü. Sahte hile piyasası üzerinden özellikle çocukları hedef alarak çok ciddi bir hızda yayılabilecek kapasiteye sahip.
Bir sonraki yazımda Vidar Stealer nasıl temizlenir, C2 engelleme ve IOC tarama yöntemleriyle birlikte anlatacağım.
Dikkatli olun efenim, her gördüğünüze atlamayın ve güvende kalın.
Analiz linkleri:
- VirusTotal file
- VirusTotal IP
- Tria.ge behavioral report
Yorum Gönder