Siber güvenlik araştırmacıları, dark web forumlarında satılan ve kripto para cüzdanlarını hedef alan yeni bir uzaktan erişim truva atı keşfetti. SilabRAT adı verilen bu kötü amaçlı yazılım, kurbanların oturum açmış hesaplarını ele geçirerek şifre ve çok faktörlü kimlik doğrulama (MFA) kontrollerini aşabiliyor. Group-IB tarafından yapılan analize göre, SilabRAT 2025 sonlarından itibaren hizmet olarak kötü amaçlı yazılım (MaaS) modeliyle aylık 5000 dolara satılıyor. Yazılımın geliştiricisi, Rusça konuşan o1oo1 kod adlı bir aktör ve aynı zamanda AsmCrypt adlı bir kod gizleme aracı da satıyor. Her iki ürünü birlikte alanlara indirim uygulanıyor.
SilabRAT'ı diğer truva atlarından ayıran iki temel özellik bulunuyor. İlki, gizli sanal ağ bilgisayarı (HVNC) çözümü sayesinde saldırganın, kurbanın cihazında hiçbir pencere veya imleç hareketi görünmeden kontrol sağlayabilmesi. Bu aktivite kurbanın kendi cihazı ve IP adresinden geldiği için güvenlik araçları bunu meşru bir oturum olarak algılıyor. İkinci özellik ise tarayıcı profili klonlama. Modern web siteleri oturumları cihaz parmak izi veya IP'ye bağladığından, SilabRAT tüm tarayıcı profilini (uzantılar, depolama, parmak izi özellikleri) kopyalayarak saldırganın sistemine taşıyor ve oturumu bozulmadan yeniden canlandırıyor. Bu iki özellik birbirini tamamlıyor: Target.dll adlı bir DLL dosyası, düşük seviyeli dosya çağrılarını ele geçirerek tarayıcının klonlanmış profili açmasını sağlıyor ve gizli oturum, kurbanın gerçek masaüstüne dokunmadan canlı veriler üzerinde çalışıyor.
SilabRAT'ın asıl hedefi kripto para cüzdanları. Arka planda sürekli çalışan bir modül, yeni bulaşmalarda cüzdanları tarayarak kurbanın tarayıcısından çalınan kimlik bilgileriyle şifrelerini kırmaya çalışıyor. Ayrıca Chrome'un App-Bound Encryption'ını aşmak için COM yükseltme tekniği kullanıyor ve bir pano kırpıcı ile işlem sırasında kopyalanan cüzdan adresini saldırganın adresiyle değiştirebiliyor. Bunların yanı sıra, tuş kaydı, pano yakalama, TightVNC üzerinden uzak masaüstü erişimi, LockBit ve BlackMatter tarafından da kullanılan bir kullanıcı hesabı denetimi (UAC) atlatma yöntemi ve kayıt defteri anahtarları veya zamanlanmış görevlerle kalıcılık gibi özellikler içeriyor.
Group-IB, geliştiricinin Ledger Live ve Trezor Suite gibi Electron tabanlı cüzdan uygulamalarına kod enjekte etme planını da açıkladığını belirterek kripto odaklı tehditlerin artacağını öngörüyor. Şirket, savunmacıları çok faktörlü kimlik doğrulamayı zorunlu kılmaya, Chrome'u güncel tutmaya ve kimlik avı ile web filtrelemeyi artırmaya çağırırken, ele geçirilmiş bir oturumun şifre istemini kolayca aşabileceği uyarısında bulunuyor.