SilabRAT Truva Atı: Oturumları Ele Geçirerek Kripto Para Çalan Yeni Tehdit Windows

SilabRAT Truva Atı: Oturumları Ele Geçirerek Kripto Para Çalan Yeni Tehdit

Dark web forumlarında 5000 dolar aylık ücretle satılan SilabRAT, kullanıcıların oturumlarını klonlayarak kripto para cüzdanlarını hedef alıyor.

Dark web forumlarında satışa sunulan yeni bir uzaktan erişim truva atı (RAT), kripto para cüzdanlarını hedef alıyor. SilabRAT adı verilen bu kötü amaçlı yazılım, kurbanların oturumlarını ele geçirerek şifre ve çok faktörlü kimlik doğrulama (MFA) kontrollerini aşmayı başarıyor. Group-IB güvenlik firması tarafından yapılan analize göre, SilabRAT 2025 sonlarından bu yana hizmet olarak kötü amaçlı yazılım (MaaS) modeliyle aylık 5000 dolar karşılığında satılıyor.

Rusça konuşan o1oo1 kod adlı geliştirici, ayrıca AsmCrypt adlı bir kod gizleme aracı da satıyor. Her iki ürünü birlikte alanlara indirim uygulanıyor. Alıcılar, SilabRAT'ı genellikle e-posta spam'leri ve ClickFix tuzaklarıyla yayıyor. Antivirüs yazılımları genellikle bu truva atını HijackLoader paketleyicisi olarak algılıyor. Bir operatör, bir aylık kampanyada enfekte olan makinelerin %90'ından fazlasının çevrimiçi kaldığını iddia etti.

SilabRAT'ı diğerlerinden ayıran iki temel özellik bulunuyor. Birincisi, gizli sanal ağ bilgi işlem (HVNC) çözümü; bu sayede operatör, görünür pencere veya imleç hareketi olmadan bir makineyi kontrol edebiliyor. Etkinlik kurbanın kendi cihazı ve IP adresinden geldiği için güvenlik araçları bunu meşru bir oturum olarak değerlendiriyor. İkincisi ise tarayıcı profili klonlama; bu özellik, çerez çalmaktan öteye geçerek tüm tarayıcı profilini (uzantılar, depolama ve parmak izi özellikleri dahil) saldırganın sistemine kopyalayarak oturumu olduğu gibi canlandırıyor.

SilabRAT'ın nihai hedefi kripto para cüzdanları. Arka planda sürekli çalışan bir modül, yeni enfeksiyonlarda cüzdan arıyor ve kurbanın tarayıcısından topladığı kimlik bilgileriyle şifreleri kırmaya çalışıyor. Chrome'un Uygulama Bağlantılı Şifrelemesini aşmak için COM yükseltme tekniği kullanılırken, bir pano kırpıcı, işlem sırasında kopyalanan cüzdan adresini saldırganınkiyle değiştirebiliyor. Group-IB, geliştiricinin Ledger Live ve Trezor Suite gibi Electron tabanlı cüzdan uygulamalarına kod enjekte etme planı nedeniyle kripto odağının derinleşeceğini öngörüyor. Şirket, savunucuları çok faktörlü kimlik doğrulamayı zorunlu kılmaya, Chrome'u güncel tutmaya ve filtrelemeyi artırmaya çağırıyor.

Paylaş: