Siber güvenlik dünyası, kripto para cüzdanlarını hedef alan yeni bir tehditle karşı karşıya. Group-IB araştırmacıları, dark web forumlarında satılan ve SilabRAT adı verilen bir uzaktan erişim truva atının, kurbanların oturumlarını çalarak şifre ve çok faktörlü kimlik doğrulama (MFA) kontrollerini aştığını ortaya çıkardı. 2025'in sonlarından beri malware-as-a-service (MaaS) olarak aylık 5000 dolar karşılığında sunulan bu kötü amaçlı yazılım, özellikle kripto para yatırımcılarını hedef alıyor.
Rusça konuşan ve o1oo1 takma adını kullanan bir geliştirici tarafından yazılan SilabRAT, aynı zamanda AsmCrypt adlı bir kod gizleme aracını da satıyor. Her iki ürünü birlikte alan müşterilere indirim uygulanıyor. Müşteriler, kendi kampanyalarını yürütüyor ve genellikle SilabRAT'ı e-posta spam'leri ve ClickFix tuzakları aracılığıyla yayıyor. Antivirüs yazılımları, bu truva atını genellikle HijackLoader adlı bir paketleyici olarak algılıyor. Bir operatör, bir aylık kampanya boyunca bulaşan makinelerin %90'ından fazlasının çevrimiçi kaldığını iddia etti.
SilabRAT'ı diğer kötü amaçlı yazılımlardan ayıran iki temel özellik bulunuyor. İlki, Gizli Sanal Ağ Bilgi İşlem (HVNC) çözümü. Bu özellik sayesinde saldırgan, kurbanın cihazında hiçbir görünür pencere veya fare hareketi olmadan kontrol sağlayabiliyor. Tüm aktivite kurbanın kendi cihazı ve IP adresinden geldiği için güvenlik araçları bunu genellikle meşru bir oturum olarak değerlendiriyor. İkinci özellik ise tarayıcı profili klonlama. Modern web siteleri, oturumları cihaz parmak izine veya IP'ye bağladığı için SilabRAT, tüm tarayıcı profilini (uzantılar, depolama, parmak izi özellikleri dahil) kopyalayarak saldırganın sistemine aktarıyor ve oturumu sorunsuz bir şekilde yeniden canlandırıyor.
Nasıl Önlem Alınmalı?
Bu iki özellik, Target.dll adlı bir DLL dosyası aracılığıyla birbirine bağlanıyor. Bu dosya, düşük seviyeli dosya çağrılarını kancalayarak tarayıcının klonlanmış profili açmasını sağlıyor. Böylece gizli oturum, kurbanın canlı verileri üzerinde çalışırken gerçek masaüstü hiçbir müdahaleye uğramıyor. Bu yöntem, kripto para borsalarına veya cüzdan hizmetlerine giriş yapmış kullanıcıların oturumlarını ele geçirerek, MFA gibi ek güvenlik önlemlerini devre dışı bırakıyor.
SilabRAT'ın nihai hedefi kripto para cüzdanlarını boşaltmak. Arka planda sürekli çalışan bir modül, yeni bulaşmalarda cüzdanları arıyor ve tarayıcıdan sızdırılan kimlik bilgileriyle şifrelerini kırmaya çalışıyor. Ayrıca, Chrome'un Uygulama Bağlı Şifreleme (App-Bound Encryption) özelliğini, COM yükseltme tekniğiyle aşabiliyor. Bir pano kırpıcı (clipboard clipper) sayesinde, işlem sırasında kopyalanan cüzdan adresini saldırganınkiyle değiştirebiliyor.
Uzmanların Görüşleri
Bunlara ek olarak SilabRAT, tipik bir uzaktan erişim truva atı araç setini de içeriyor: tuş kaydı, pano yakalama, TightVNC üzerinden uzak masaüstü erişimi, LockBit ve BlackMatter gibi fidye yazılımlarının kullandığı Kullanıcı Hesabı Denetimi (UAC) atlatma yöntemi, kayıt defteri anahtarları veya zamanlanmış görevlerle kalıcılık. Group-IB, geliştiricinin Ledger Live ve Trezor Suite gibi Electron tabanlı cüzdan uygulamalarına kod enjekte etme planını da göz önünde bulundurarak, kripto odaklı tehditlerin artacağını öngörüyor.
Uzmanlar, bu tehdide karşı kurumların çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılması, Chrome'u güncel tutması ve e-posta filtreleme ile web filtrelemeyi sıkılaştırması gerektiğini vurguluyor. Ancak, ele geçirilmiş bir oturumun şifre istemini aşabildiğini de hatırlatıyorlar. SilabRAT örneği, siber suçluların sürekli olarak daha karmaşık yöntemler geliştirdiğini ve kripto para kullanıcılarının daha dikkatli olması gerektiğini gösteriyor.
Kaynak: infosecurity-magazine.com