- Modern Arayüz: WPF kullanılarak hazırlanmış, kullanımı kolay bir kontrol panelidir.
- Konfigürasyon: Verilerin nereye gönderileceğini (Discord Webhook veya Telegram Bot) belirler.
- Modül Seçimi: Stub'ın hangi verileri çalacağı buradan seçilir (Tarayıcı verileri, Discord, Steam vb.).
- Derleme (Compilation): Seçilen ayarlara göre arka planda C++ kodunu g++ kullanarak derler ve son kullanıcıya hazır bir .exe sunar.
2. Aşama: İlk Çalıştırma ve Gizlenme (Stub İnfazı)
Kurban dosyayı çalıştırdığında şu işlemler sırayla gerçekleşir:- Tuzak Programın Başlatılması: Eğer Binder kullanıldıysa, kurbanın şüphelenmemesi için asıl yasal program (örneğin oyun hilesi) ekranda belirir.
- Arka Planda Gizlenme: Yazılım, konsol ekranını gizler (SW_HIDE) ve görev yöneticisinde sıradan bir sistem dosyası gibi görünmeye çalışır.
- Kalıcılık (Persistence): Kendini Windows başlangıç klasörüne veya kayıt defterine (Registry) ekleyerek, bilgisayar her açıldığında yeniden çalışmasını sağlar.
3. Aşama: Veri Toplama (Harvesting)
Yazılım, bilgisayardaki tüm hassas noktaları taramaya başlar:- Tarayıcı Saldırısı:
- Chrome, Edge, Opera gibi tarayıcıların yüklü olduğu klasörleri bulur.
- Veri tabanlarını (SQLite) kopyalar. Önemli Detay: Tarayıcı o an açıksa verileri kilitleyebilir, LLHN bu durumu aşmak için veri tabanını geçici bir klasöre kopyalayıp oradan okur.
- Local State dosyasındaki anahtarı kullanarak şifrelenmiş (AES-GCM) parolaları ve çerezleri çözer.
- Token Avcılığı: Discord'un yerel dosyalarını tarayarak oturum açmaya yarayan "Token" bilgisini çeker.
- Oyun ve Cüzdanlar: Steam oturum dosyalarını, Riot Games giriş bilgilerini ve MetaMask gibi kripto cüzdan eklentilerinin verilerini toplar.
- Sistem Casusluğu: Ekran görüntüsü alır ve panoda (Clipboard) kopyalanmış olan (genelde şifre veya kripto adresi olur) metinleri çeker.
- Tarayıcı Saldırısı:
4. Aşama: Paketleme ve Sızdırma (Exfiltration)
Toplanan veriler bilgisayardan dışarı çıkarılmalıdır:- ZIPleme: Toplanan tüm .txt ve dosya içerikleri (Şifreler.txt, Cookies.txt vb.) Windows'un kendi araçları (tar.exe) veya PowerShell kullanılarak tek bir şifreli/gizli ZIP dosyası haline getirilir.
- Buluta Yükleme: Dosya boyutu büyük olabileceği için doğrudan mesajla göndermek yerine anonim dosya yükleme servislerine (Gofile gibi) yüklenir.
- Bildirim: Saldırganın Discord veya Telegram kanalına bir "Hit" (başarılı saldırı) bildirimi düşer. Bu bildirimde kurbanın IP adresi, kaç şifre çalındığı ve ZIP dosyasının indirme linki yer alır.
5. Aşama: Sonuç ve Kullanım (Exploitation)
Saldırgan verileri aldığında projenin son parçası devreye girer:- Temizlik: Stub, işi bittikten sonra arkasında bıraktığı geçici dosyaları siler.
- Loginner Kullanımı: Saldırgan, çalınan çerezleri (cookies) Loginner uygulamasına yapıştırır. Loginner, özel bir tarayıcı motoru (WebView2) başlatarak bu çerezleri içine enjekte eder.
- Erişim: Saldırgan, kurbanın Facebook, Google veya Instagram hesabına şifre girmeden, 2FA (iki aşamalı doğrulama) korumasına takılmadan doğrudan "kurbanın kendisiymiş gibi" giriş yapar.
- Yazılım 100% FUD Sayesinde hiç bir AV'ye yakalanmaz.
💬 SpyHackerz Telegram — Anlık tartışmalar ve duyurular için katıl
