SilabRAT: Kripto Para Çalmak İçin Oturumları Ele Geçiren Yeni Tehdit Yazılım

SilabRAT: Kripto Para Çalmak İçin Oturumları Ele Geçiren Yeni Tehdit

Karanlık ağda aylık 5000 dolara satılan SilabRAT, kullanıcıların aktif oturumlarını klonlayarak kripto para cüzdanlarını boşaltıyor.

Siber güvenlik dünyası, kripto para kullanıcılarını hedef alan yeni bir tehditle karşı karşıya. Group-IB araştırmacıları tarafından keşfedilen SilabRAT, karanlık ağ forumlarında 'hizmet olarak kötü amaçlı yazılım' (MaaS) modeliyle aylık 5000 dolara satılıyor. Bu uzaktan erişim truva atı (RAT), kurbanların aktif oturumlarını ele geçirerek şifre ve çok faktörlü kimlik doğrulama (MFA) kontrollerini aşabiliyor.

Rusça konuşan ve o1oo1 olarak bilinen geliştirici, aynı zamanda AsmCrypt adlı bir kod gizleme aracı da satıyor. Her iki ürünü birlikte alan müşterilere indirim uygulayan geliştirici, alıcıların kendi kampanyalarını yürütmesine izin veriyor. Saldırganlar genellikle SilabRAT'ı e-posta spam'leri ve ClickFix tuzakları yoluyla yayıyor; antivirüs yazılımları ise bu tehdidi genellikle HijackLoader paketleyicisi olarak algılıyor.

SilabRAT'ı diğer kötü amaçlı yazılımlardan ayıran iki temel özellik bulunuyor. Birincisi, gizli sanal ağ bilgi işlem (HVNC) çözümü. Bu teknik sayesinde saldırgan, kurbanın cihazında görünür pencere veya imleç hareketi olmadan tam kontrol sağlayabiliyor. Tüm işlemler kurbanın kendi IP adresinden yapıldığı için güvenlik araçları bunu meşru bir oturum olarak değerlendiriyor.

İkinci kritik özellik ise tarayıcı profili klonlama. Sıradan çerez hırsızlığının ötesine geçen bu yöntem, modern web sitelerinin kullandığı cihaz parmak izi ve IP tabanlı oturum doğrulamayı aşmak için tüm tarayıcı profilini (uzantılar, depolama, parmak izi verileri) saldırganın sistemine kopyalıyor. Target.dll adlı bir DLL dosyası, düşük seviyeli dosya çağrılarını ele geçirerek klonlanmış profilin açılmasını sağlıyor.

Önemli Gelişmeler

SilabRAT'ın nihai hedefi kripto para cüzdanları. Arka planda sürekli çalışan bir modül, yeni bulaşmalarda cüzdanları tespit ediyor ve kurbanın tarayıcısından çalınan kimlik bilgileriyle şifrelerini kırmaya çalışıyor. Chrome'un App-Bound Encryption korumasını aşmak için COM yükseltme tekniği kullanılırken, bir pano klipsleyicisi kopyalanan cüzdan adresini saldırganınkiyle değiştirebiliyor.

Nasıl Önlem Alınmalı?

Group-IB araştırmacıları, geliştiricinin Ledger Live ve Trezor Suite gibi Electron tabanlı cüzdan uygulamalarına kod enjeksiyonu yapma planını da tespit etti. Şirket, savunmacıları çok faktörlü kimlik doğrulamayı zorunlu kılmaya, Chrome'u güncel tutmaya ve kimlik avı ile web filtreleme önlemlerini artırmaya çağırıyor. En önemli uyarı ise şu: Ele geçirilmiş bir oturum, şifre sorulmadan bile tüm güvenlik duvarlarını aşabilir.

Kaynak: infosecurity-magazine.com

Paylaş: