Sahte Oyun Piyasası Analizi(Myth, EvilSoul, Genesis Stealer)

byNullSans -
0
Sahte Oyun Piyasası Üzerinden Stealer Zararlı Yazılımlarının Yayılımı

Sahte Oyun Piyasası Üzerinden Stealer Zararlı Yazılımlarının Yayılımı

1. Giriş

Son dönemde sahte oyun piyasasının gelişmesiyle birlikte stealer türü zararlı yazılımların yayılımında ciddi bir artış gözlemlenmiştir. Tehdit aktörleri, kullanıcıları kandırmak amacıyla yeni yöntemler ve dağıtım teknikleri geliştirmiştir. Yapılan analizler sonucunda bazı stealer gruplarına ait kaynak kodlarının ele geçirildi.

Bu rapor, sahte oyun piyasası üzerinden faaliyet gösteren üç farklı stealer grubu üzerine odaklanmaktadır. İncelenen gruplar şunlardır:

  • Myth
  • Evil Soul
  • Genesis Stealer

2. Saldırı Yöntemleri

Tehdit aktörlerinin kullandığı ilk ve en yaygın yöntem, kullanıcıları oyun testine davet eden sosyal mühendislik teknikleri olmuştur. Bu yöntemler genellikle aşağıdaki ifadelerle uygulanmıştır:

  • “Oyunumuzu deneyin”
  • “Yeni çıkan oyunumuzun beta sürümü”

Buna ek olarak, saldırganlar Steam platformunda yer alan popüler oyunları taklit eden sahte web siteleri oluşturarak kullanıcı güvenini kazanmayı hedeflemiştir. Bu sahte siteler üzerinden indirilen dosyalar aracılığıyla, stealer türü zararlı yazılımlar sistemlere bulaştırılmıştır.

3. Zararlı Yazılım Dağıtımı

Zararlı yazılımlar, oyun yükleyicisi veya crack dosyası gibi gösterilerek kullanıcıya sunulmuştur. Bu yöntem sayesinde kötü amaçlı yazılımlar, oyun piyasası görünümü altında gizlenerek yayılmıştır.

Analiz edilen tehdit aktörleri aşağıdaki gruplara ayrılmaktadır:

  • Myth
  • Evil Soul
  • Genesis Stealer

Bu grupların her biri, benzer dağıtım yöntemleri kullanmakla birlikte farklı altyapı ve kod yapılarıyla faaliyet göstermektedir.

4. Sonuç

Sahte oyun piyasası, stealer türü zararlı yazılımlar için etkili bir dağıtım alanı hâline gelmiştir. Kullanıcıların güvenini hedef alan bu saldırılar, özellikle oyun topluluklarını ciddi şekilde tehdit etmektedir. İncelenen üç stealer grubunun faaliyetleri, bu tehdidin organize ve sürekli bir yapıya sahip olduğunu göstermektedir.

MYTH Stealer – Teknik Analiz Raporu

1. Genel Bilgiler

  • İsim: reconstructed_source
  • İçerik: 7 öğe
  • Oluşturulma / Değiştirilme Tarihi: Salı, 16 Aralık 2025 – 14:22:53

MYTH Stealer, tarayıcı verileri ve Discord bilgilerini hedef alan, ek olarak sistem keşfi ve sanal makine (VM) tespit mekanizmaları içeren bir bilgi hırsızı zararlı yazılımdır.

2. Tarayıcı Verilerinin Ele Geçirilmesi

Saldırgan aktör öncelikli olarak tarayıcı verilerini hedef almaktadır. Chrome, Edge ve benzeri Chromium tabanlı tarayıcılar bu kapsamda incelenmektedir.

Genellikle tarayıcı verilerinin okunabilmesi için ilgili tarayıcının task kill edilmesi gerekir. Ancak MYTH Stealer bu yönteme ihtiyaç duymaz.

Kullanılan Yöntem

  • Tarayıcıya ait .db uzantılı dosyalar sistem üzerinde tespit edilir.
  • Bu dosyalar doğrudan TEMP dizinine kopyalanır.
  • Tarayıcı çalışır durumda olmasına rağmen veri kopyalama işlemi başarıyla gerçekleştirilir.
  • Kopyalanan veritabanı dosyaları TEMP dizininde şifrelenir (encrypt).
  • Şifrelenen veriler, saldırgana webhook mekanizması aracılığıyla iletilir.

Bu işlem Chrome ile sınırlı kalmayıp, diğer desteklenen tarayıcılar için de aynı şekilde uygulanmaktadır.

3. Sistem Bilgilerinin Toplanması

İkinci aşamada zararlı yazılım, enfekte sistem hakkında ayrıntılı bilgiler toplar. Toplanan bilgiler aşağıdaki gibidir:

  • Hostname
  • Kullanıcı adı
  • İşletim sistemi
  • Sistem mimarisi
  • CPU modeli
  • Toplam RAM miktarı
  • Kullanıcı ana dizini

Bu bilgiler Node.js ortamında aşağıdaki yöntemle elde edilmektedir:

___________________________________________________________________________
hostname: os.hostname(),
username: os.userInfo().username,
platform: os.platform(),
arch: os.arch(),
cpus: os.cpus()[0]?.model,
memory: Math.round(os.totalmem() / 1024 / 1024 / 1024) + ' GB',
homedir: os.homedir()
 ___________________________________________________________________________

Harici IP Tespiti (Ipify)

MYTH Stealer, eski ancak yaygın bir yöntem olan ipify API servisini kullanarak kurbanın public IP adresini elde eder:

___________________________________________________________________________
async function getPublicIP() {
    try {
        const response = await axios.get('https://api.ipify.org?format=json');
        return response.data.ip;
    } catch {
        return 'Unknown';
    }
}___________________________________________________________________________

Toplanan tüm sistem ve ağ bilgileri bir ZIP arşivi içerisinde birleştirilir.

4. Discord Üzerinde Kalıcılık (Persistence)

MYTH Stealer’ın temel hedeflerinden biri de Discord uygulaması üzerinde kalıcılık sağlamaktır.

Kullanılan Teknik

  • Discord’un core modules dizinine erişilir.
  • Bu dizinde Discord’a ait JavaScript dosyaları yer almaktadır.
  • Zararlı yazılım, kendi JavaScript payload’unu bu dosyaların içerisine enjekte eder.
  • Böylece Discord her çalıştırıldığında zararlı JS kodu otomatik olarak tetiklenir.

Discord Token Hırsızlığı

Payload aktif olduğu sürece:

  • Discord kullanıcı token bilgileri toplanır.
  • Token değişimi ihtimaline karşı /users/@me endpoint’i kullanılarak yeni tokenlar izlenir.
  • Kimlik bilgileri şu şekilde sınıflandırılır:
    • Old Password
    • New Password

Elde edilen tüm Discord verileri tekrar bir ZIP arşivi içerisine eklenerek saldırgana gönderilir.

5. Sanal Makine (VM) ve Analiz Ortamı Tespiti

MYTH Stealer’ın ilk adımlarından biri VM ve analiz ortamı kontrolüdür. Bu kontroller genellikle 2022–2023 yıllarında kullanılan klasik yöntemlere dayanmaktadır ve günümüzde etkisi sınırlıdır.

Kontrol Edilen Unsurlar

  • VM’e ait process’ler
  • Dosya sistemi üzerinde vbox, vmware benzeri izler
  • Registry içerisinde sanal makineye ait anahtarlar
  • Hostname ve username karşılaştırmaları
  • RAM limitleri
  • Debug ortamı tespiti

Eğer analiz veya sanal makine ortamı tespit edilirse, zararlı yazılım kendini sistemden silerek çalışmasını sonlandırır.

6. Çalışma Mantığının Özeti

MYTH Stealer’ın temel çalışma prensibi şu adımlardan oluşmaktadır:

  1. VM ve analiz ortamı kontrolü
  2. Tarayıcı verilerinin task kill gerektirmeden kopyalanması
  3. Sistem ve ağ bilgilerinin toplanması
  4. Discord üzerinde kalıcılık sağlanması
  5. Token ve kimlik bilgilerinin exfiltration edilmesi

Evil Soul Stealer – Teknik Analiz Raporu

1. Tehdit Aktörü Genel Profili

Evil Soul, 2025–2026 yılları arasında aktiflik gösteren bir stealer saldırgan grubudur. İlk OSINT analizlerinde Rusça konuşma izlerine rastlanmış olsa da, son yapılan istihbarat taramaları bu grubun Brezilya tabanlı olduğunu ortaya koymuştur.

Genel yapı itibarıyla klasik stealer gruplarına benzemekle birlikte, kullandıkları yöntemlerin daha gelişmiş ve katmanlı olduğu gözlemlenmiştir. Eski ve yeni sürümler karşılaştırıldığında, saldırı zincirinin belirgin şekilde olgunlaştığı tespit edilmiştir.

2. Kalıcılık (Persistence) Mekanizması

Evil Soul Stealer, ilk hamlesini doğrudan kalıcılık sağlama üzerine kurmaktadır.

Windows Startup Kalıcılığı

Zararlı yazılım kendi .exe dosyasını Windows Startup klasörüne ekler. Bu işlem doğrudan kopyalama ile değil, .lnk (kısayol) dosyası üzerinden gerçekleştirilir.

Kısayol yapılandırması şu şekildedir:

  • Target: Zararlı yazılımın .exe dosyası
  • Working Directory: .exe dosyasının bulunduğu dizin
  • WindowStyle: 1 (normal pencere)
  • Icon: Zararlı yazılımın kendi ikonu (gizlenme amacıyla)

Bu işlemi gerçekleştirmek için zararlı yazılım:

  1. VBScript (Visual Basic Script) oluşturur
  2. Script’i TEMP dizinine kaydeder
  3. cscript ile çalıştırır
  4. Çalışma tamamlandıktan sonra script’i siler

Kendini Yeniden Oluşturma

Bu kalıcılık mekanizması aktif hâle geldikten sonra zararlı yazılımın silinmesi oldukça zorlaşır. Yazılım, kendi dosyasının silinip silinmediğini düzenli olarak kontrol eder:

  • Dosya silinmişse
  • Aynı dosyayı tekrar oluşturur ve yeniden yükler

Bu sayede manuel temizlik girişimleri büyük ölçüde etkisiz hâle gelir.

3. Tarayıcı Şifreleme Anahtarı (Master Key) Ele Geçirme

Evil Soul Stealer, Chromium tabanlı tarayıcıların AES master key yapısına özel olarak odaklanmaktadır.

Anahtar Çıkarma Süreci

  • browsers_path dizinindeki her tarayıcı profili için Local State dosyası kontrol edilir
  • Dosya okunur ve JSON formatına dönüştürülür
  • İçerik Base64 olarak alınır
  • Base64 decode edilir
  • İlk 5 byte kesilir
  • Kalan veri PowerShell kullanılarak çözülür

Bu işlem sonucunda:

  • Her tarayıcı profili için 32 byte AES master key elde edilir
  • Bu anahtar olmadan cookie, parola veya oturum verilerinin çözülmesi mümkün değildir

Kod, try-catch bloklarıyla sessiz hata yakalama uygular. Bu sayede bir profil başarısız olsa bile işlem diğer profillerle devam eder.

4. Discord ve Diğer Uygulama Token Hırsızlığı

Bir sonraki aşamada Evil Soul Stealer, Discord ve benzeri uygulamaları hedef alır.

Token Toplama Süreci

  • leveldb dosyaları taranır
  • Regex ifadeleri kullanılarak token desenleri aranır
  • Kod içindeki gereksiz satırlar elenir
  • Tokenlar ayıklanır, toplanır ve doğrulanır

Token doğrulaması Discord API üzerinden yapılır:

  • Eğer API HTTP 200 dönerse token geçerli kabul edilir
  • Geçerli token bilgisi saldırgana iletilir

Bunun ardından Discord hesabına ait ek bilgiler (profil detayları, arkadaş listesi vb.) de toplanır.

5. 2FA Yedek Kodlarının Ele Geçirilmesi

Evil Soul grubu, kullanıcı hatalarının farkındadır. Özellikle bazı kullanıcıların 2FA yedek kodlarını masaüstünde .txt dosyaları içerisinde sakladığı bilinmektedir.

Zararlı yazılım:

  • .txt dosyalarını tarar
  • 2FA backup kodlarını tespit eder
  • Bulunan verileri saldırgana gönderir

Bu durum, hesap kurtarma mekanizmalarının tamamen devre dışı kalmasına yol açar.

Öne Çıkan Fonksiyonlar

Fonksiyon Amaç Tehlike Seviyesi 2026 Etkinliği
GetBackupCode 2FA yedek kodlarını çalma ★★★★★ Çok Yüksek
decryptPassword AES-GCM şifre çözme ★★★★ Standart
tryRemoveFile İz temizleme ★★★ Orta
operaPasswords Opera şifrelerini toplama ★★★★ Yüksek

6. Web Geçmişi ve Sistem Bilgisi Toplama

Tarayıcı Geçmişi

  • Tarayıcı dizini açılır
  • History / History.db dosyası tespit edilir
  • Dosya TEMP dizinine kopyalanır (aksi hâlde okuma engellenir)

Ardından SQLite sorgusu çalıştırılır:

__________________________
SELECT * FROM urls
___________________________

Her kayıt için şu bilgiler elde edilir:

  • Ziyaret edilen URL
  • Sayfa başlığı
  • Ziyaret sayısı
  • Son ziyaret zamanı (Windows epoch → ISO formatı)

Veriler uygulama adı ve profil ismiyle birlikte history.txt dosyasına yazılır.

Sistem Bilgileri

Toplanan sistem bilgileri:

  • Public IP
  • Kullanıcı adı
  • Hostname
  • RAM (GB)
  • CPU modeli
  • Windows sürümü
  • Uptime (dakika)

Bu bilgiler özel hazırlanmış bir Discord Embed içerisine yerleştirilir:

  • Koyu tema uyumlu renk
  • Evil Soul temalı avatar ve başlık
  • Sistem ve dosya bilgileri alanları

7. Veri Aktarımı ve Tarayıcı Canlı İzleme

Toplanan tüm veriler:

  • ZIP arşivi hâline getirilir
  • Saldırgana gönderilir

Genel saldırgan mantığına göre, büyük arşiv boyutu (ör. 5 GB) yüksek değerli ve hassas verilerin göstergesi olarak kabul edilir.

Canlı Tarayıcı İzleme

Son aşamada Evil Soul Stealer:

  • Tüm tarayıcıları taskkill ile kapatır
  • Tarayıcıyı headless (görünmez) modda başlatır
  • Remote debugging açar
  • Kaydedilmiş oturum ve cookie’leri yükler
  • Güvenlik kısıtlamalarını devre dışı bırakır

WebSocket üzerinden tarayıcıya bağlanarak:

  • Kullanıcı aktiviteleri izlenir
  • Oturumlar ve cookie’ler canlı olarak ele geçirilir

8. Genel Değerlendirme

Evil Soul Stealer, klasik stealer mimarisinin ötesine geçen; kalıcılık, canlı izleme ve kullanıcı hatalarını istismar etme yetenekleriyle öne çıkan gelişmiş bir tehdittir.

Tamam.

Aşağıda senin verdiğin bilgiler dışına çıkmadan, yorum/ekleme yapmadan, sadece imla–noktalama ve teknik rapor dili düzeltilerek yazılmış Genesis Stealer bölümünü veriyorum.

Kaynak kodu incelemesi ve OSINT vurgusu senin söylediğin şekilde işlendi.

Genesis Stealer – Teknik ve OSINT Analizi

1. Tehdit Aktörü Tanımı

Kendi aralarında “210”, “1952” gibi tanımlamalar kullanan bu grup, teknik analizlerde Genesis Stealer olarak adlandırılmaktadır. Grup, özellikle Discord üzerinde aktiflik, key dağıtımı ve stealer geliştirme faaliyetleriyle öne çıkmaktadır.

Yapılan ayrıntılı OSINT çalışmaları sonucunda, Genesis Stealer’ı geliştiren kişilerin; Evil Soul ve MYTH stealer gruplarının birleşiminden türemiş bir varyant geliştirdiği tespit edilmiştir. Grup Türk tabanlıdır.

2. Kaynak Kodu ve Açık Kaynak İzleri

Analiz esnasında aşağıdaki GitHub profili ile doğrudan ilişki kurulmuştur:

  • github.com/axelancexld

İncelenen kodlar içerisinde, Genesis Stealer adına ve altyapısına açık referanslar yer almaktadır. Ayrıca kod ve iletişim kanallarında aşağıdaki Telegram grubu gösterilmiştir:

  • t.me/GenesisSociety

Grup içerisinde İngilizce iletişim kullanılsa da, yapılan analizler sonucunda gerçek grup adının “210” olduğu anlaşılmıştır.

3. İlişkili Altyapı ve Platformlar

OSINT bulgularına göre Genesis Stealer grubunun aşağıdaki alan adı ile ilişkili olduğu tespit edilmiştir:

  • epicdepths.com

Bu alan adı, hem altyapı hem de dağıtım süreçlerinde dolaylı olarak kullanılmıştır.

4. Sahte Oyun Piyasası ve Türk Hile Ekosistemi Bağlantısı

Yapılan OSINT çalışmaları sonucunda yeni bir delil elde edilmiştir. Genesis Stealer’ın yayılım kaynağının, sahte oyun piyasası üzerinden, özellikle Türk hile piyasası kökenli olduğu tespit edilmiştir.

Bu durum aşağıdaki video ile doğrulanmıştır:

  • youtube.com/watch?v=hlrqOwF9TAI

Bu video, stealer’ın dağıtım yöntemlerinin ve hedef kitlesinin doğrudan bu ekosistemle bağlantılı olduğunu göstermektedir.

5. Saldırgan Profili ve Grup Yapısı

Belirli OSINT yöntemleri kullanılarak saldırganlara ait bilgiler elde edilmiştir. Mevcut bulgulara göre:

Türk tabanlı bir guruptur

olmak üzere toplam üç ana aktör tespit edilmiştir. Ancak yapılan analizler, bu kişilerin tek başlarına hareket etmediğini, daha geniş ve bağlantılı bir yapı içerisinde yer aldıklarını göstermektedir.

6. Komuta-Kontrol (C2) Altyapısı

Genesis Stealer ve ilişkili gruplar, son dönemlerde klasik C2 altyapıları yerine webhook tabanlı komuta-kontrol mekanizmalarını tercih etmektedir.

Bu yaklaşımı aktif şekilde kullanan gruplardan biri de Evil Soul olmuştur. Webhook kullanımı, hızlı veri aktarımı ve altyapı gizleme açısından tercih edilmektedir.

(MYTH / Evil Soul / Genesis Stealer)

1. Initial Access (TA0001)

T1204.002 – User Execution: Malicious File

  • Sahte oyunlar, crack’ler, hile yazılımları üzerinden kullanıcıya zararlı dosya çalıştırttırılması
  • Sahte oyun piyasası / Türk hile piyasası dağıtımı

2. Execution (TA0002)

T1059.001 – Command and Scripting Interpreter: PowerShell

  • Evil Soul’da AES master key çözümü
  • Tarayıcı anahtar çözme süreçleri

T1059.007 – JavaScript

  • MYTH ve Evil Soul’da Discord JS payload enjekte edilmesi
  • Discord core modules üzerinden JS çalıştırılması

T1106 – Native API

  • Tarayıcı dosyalarına doğrudan erişim
  • Sistem bilgisi toplama

3. Persistence (TA0003)

T1547.001 – Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

  • Evil Soul’un .lnk üzerinden Windows Startup kalıcılığı
  • EXE → Startup → her reboot’ta çalıştırma

T1053.005 – Scheduled Task (Dolaylı)

  • Dosya silinirse yeniden oluşturma mantığı
  • Sürekli kontrol / yeniden yükleme davranışı

T1505.003 – Server-side Component: Web Shell (Discord JS benzeri kullanım)

  • Discord core modules içine JS eklenmesiyle uygulama kalıcılığı

4. Privilege Escalation (TA0004)

Doğrudan privilege escalation yok

Ancak:

T1068 – Exploitation for Privilege Escalation (Dolaylı Risk)

  • --no-sandbox flag’i ile tarayıcı güvenlik kısıtlarının kaldırılması

5. Defense Evasion (TA0005)

T1036 – Masquerading

  • Sahte oyun / sahte installer görünümü
  • Orijinal icon kullanımı (Evil Soul)

T1027 – Obfuscated / Encrypted Files or Information

  • Browser .db dosyalarının encrypt edilmesi
  • ZIP + encrypted veri gönderimi

T1140 – Deobfuscate / Decode Files or Information

  • Base64 decode
  • AES-GCM çözme

T1497 – Virtualization / Sandbox Evasion

  • VM process kontrolü
  • VBox / VMware dosya ve registry kontrolleri
  • RAM / debug tespiti
  • VM tespitinde self-delete

T1070.004 – File Deletion

  • Temp script silme
  • İz temizleme fonksiyonları

6. Credential Access (TA0006)

T1555 – Credentials from Password Stores

  • Chromium tarayıcı şifreleri
  • Opera şifreleri

T1552.001 – Unsecured Credentials: Credentials in Files

  • 2FA backup kodlarının .txt dosyalarından çalınması

T1539 – Steal Web Session Cookie

  • Cookie ve aktif oturumların ele geçirilmesi
  • Headless browser + restore session

T1110.003 – Credential Stuffing (Dolaylı)

  • Ele geçirilen token ve session’ların tekrar kullanımı

7. Discovery (TA0007)

T1082 – System Information Discovery

  • OS, CPU, RAM, uptime, platform

T1033 – Account Discovery

  • Username, hostname

T1016 – Network Information Discovery

  • Public IP (ipify)

T1083 – File and Directory Discovery

  • Browser path
  • LevelDB
  • History.db
  • TXT dosyaları

8. Collection (TA0009)

T1005 – Data from Local System

  • Browser history
  • Cookies
  • Passwords
  • Tokens
  • 2FA backup codes

T1113 – Screen Capture (Dolaylı Risk)

  • Headless browser üzerinden kullanıcı davranışı izleme

9. Command and Control (TA0011)

T1102 – Web Service

  • Discord webhook
  • Telegram altyapısı

T1071.001 – Application Layer Protocol: Web Protocols

  • HTTPS üzerinden veri sızdırma

T1095 – Non-Application Layer Protocol (Dolaylı)

  • WebSocket (Chrome DevTools Protocol)

10. Exfiltration (TA0010)

T1041 – Exfiltration Over C2 Channel

  • ZIP paketleri webhook üzerinden gönderme

T1567.002 – Exfiltration to Cloud Storage / Web Services

  • Discord webhook üzerinden veri aktarımı

MYTH, Evil Soul ve Genesis Stealer; MITRE ATT&CK kapsamında özellikle Credential Access, Persistence, Defense Evasion ve Command and Control taktiklerinde yoğunlaşan, tarayıcı ve Discord ekosistemini merkezine alan stealer tehditleridir. Analiz, davranışsal gözlemler ve ele geçirilen kaynak kodları üzerinden doğrulanmıştır.

Bizim görevimiz?

stealerların kaynak kodlarını ele geçirdikten sonra No-Stealer projesini başlatıcağız yara ve sigma kuraları ile tespit gerçekleştirmeye dayalı kuralar yazacağız ve github proejimzde belirteceğiz

0 Yorumlar

Yorum Gönder

Post a Comment (0)

Daha yeni Daha eski