Yeni uzaktan erişim truva atı (RAT), yalnızca bilgi çalmakla ve kurbanlarını tam kapsamlı gözetlemekle kalmıyor, birebir vakitte onlarla dalga geçebilecek özellikler barındırıyor.
Kaspersky Küresel Research & Analysis Team (GReAT), daha evvel belgelenmemiş, epey geniş yetenek setine sahip bir RAT’in dağıtıldığı faal bir ziyanlı yazılım kampanyasını ortaya çıkardı. Standart uzaktan erişim truva atı fonksiyonlarının ötesine geçen bu ziyanlı; stealer (veri hırsızı), keylogger (tuş kaydedici), clipper ve casus yazılım özelliklerini tek bir yapıda birleştiriyor. Siber hatalılar tarafından MaaS (malware-as-a-service / hizmet olarak ziyanlı yazılım) modeliyle üçüncü taraflara sunulan bu araç, YouTube ve Telegram üzerinden tanıtılıyor. Bu durum, daha az teknik bilgiye sahip aktörler de dahil olmak üzere çok daha geniş bir kullanıcı kitlesi tarafından kullanılma riskini artırıyor.
Stealer özellikleri sayesinde ziyanlı yazılım, kurban hakkında geniş kapsamlı data toplayabiliyor: sistem bilgilerini derliyor, Steam, Discord ve Telegram hesaplarına ilişkin kimlik bilgilerini ele geçiriyor ve web tarayıcılarından bilgi çekebiliyor. Ayrıyeten kripto para kullanıcıları için de önemli bir tehdit oluşturuyor; tarayıcı tabanlı clipper özelliği ile kripto cüzdan adreslerini değiştirerek süreçleri manipüle edebiliyor.
Veri hırsızlığının ötesinde, CrystalX RAT tam kapsamlı bir nezaret aracı olarak da konumlanıyor. Ekran imgesi alma, mikrofon üzerinden ses kaydetme ve hem web kamerasından hem de ekran üzerinden görüntü yakalama üzere yeteneklere sahip.
Zararlının dikkat çeken ögelerinden biri ise geliştiriciler tarafından bilhassa öne çıkarılan “eğlenceli” prankware (şaka yazılımı) özellikleri. Bu fonksiyonlar sayesinde saldırganlar, kurbanın sistemine direkt müdahale edebiliyor: fare imlecini hareket ettirmek, masaüstü art planını değiştirmek, ekran istikametini döndürmek, masaüstü simgelerini gizlemek, sistemi zorla kapatmak ve hatta gerçek vakitli açılır iletiler göndermek mümkün. Birinci bakışta zararsız üzere görünen bu özellikler, akına görünürlük ve ruhsal baskı boyutu ekleyerek kurban üzerinde rahatsız edici bir tesir yaratıyor.
Kaspersky, akınların şu an için Rusya’daki kullanıcıları maksat aldığını bildiriyor. Lakin satış ve dağıtım modeli göz önüne alındığında, zararlının farklı ülkelere yayılma potansiyeli hayli yüksek.
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Leonid Bezvershenko konuyla ilgili olarak şunları söylüyor: “Bu derece kapsamlı bir yetenek seti, kurbanın adeta 360 derece ele geçirilmesine ve kapalılığın büsbütün ortadan kalkmasına yol açıyor. Hesap erişim bilgilerinin ele geçirilmesinin ötesinde, çalınan bilgiler şantaj hedefiyle da kullanılabilir. Birinci bulaşma vektörü şimdi net olarak belirlenebilmiş değil, fakat şimdiden onlarca kurbanı etkilediği görülüyor. Telemetri bilgilerimiz, zararlının yeni versiyonlarının da tespit edildiğini gösteriyor; bu da etkin olarak geliştirilmeye ve sürdürülmeye devam ettiğine işaret ediyor. Önümüzdeki devirde hem kurban sayısının hem de coğrafik yayılımın değerli ölçüde artmasını bekliyoruz.”
CrystalX RAT ve göstergeleri hakkında daha fazla bilgi edinmek için Securelist.com üzerindeki ayrıntılı rapor incelenebilir.
Kaspersky, kullanıcıların inançta kalabilmesi için şu tekliflerde bulunuyor:
- Mesajlaşma uygulamaları yahut e-posta yoluyla alınan ve ziyanlı yazılım çalıştırma riski taşıyan evrakları açarken yahut indirirken son derece dikkatli olun.
- İndirmeler konusunda seçici davranın. Oyunları ve modları sadece resmi kaynaklardan yahut sağlam web sitelerinden yüklemek daha inançlıdır. Gayriresmi kaynaklar ziyanlı yazılım içerebilir.
- Tüm bilgisayar ve taşınabilir aygıtlarınızda, sizi uyaracak ve muhtemel enfeksiyonları önleyecek Kaspersky Premium gibi güçlü bir güvenlik tahlili kullanın.
- Windows ayarlarından “dosya uzantılarını göster” seçeneğini aktifleştirebilirsiniz. Bu, potansiyel olarak ziyanlı evrakları ayırt etmenizi kolaylaştıracaktır. Truva atları birer program olduğu için; “exe”, “vbs” ve “scr” üzere belge uzantılarına sahip kuşkulu evraklardan uzak durmalısınız. Siber hatalılar, ziyanlı bir belgeyi görüntü, fotoğraf yahut doküman üzere göstermek için birden fazla uzantı kullanabilir.
- E-posta yoluyla gönderilen bildirimlere karşı tetikte olun. Siber hatalılar çoklukla bir çevrimiçi mağaza yahut bankadan gelmiş üzere görünen uydurma e-postalar hazırlayarak kullanıcıyı ziyanlı bir ilişkiye tıklamaya ve yazılımı yaymaya teşvik eder.
CrystalX RAT hakkında daha fazla bilgi edinmek ve güvenlik ihlali göstergelerini (IoC) incelemek için Securelist.com üzerindeki raporu ziyaret edebilirsiniz.
Kaynak: (BYZHA) Beyaz Haber Ajansı
