Yeni SilabRAT Truva Atı, Kripto Çalmak İçin Oturumları Ele Geçiriyor Yazılım

Yeni SilabRAT Truva Atı, Kripto Çalmak İçin Oturumları Ele Geçiriyor

Dark web forumlarında satılan yeni bir uzaktan erişim truva atı, kripto para birimini boşaltmak, kurbanların oturum açtığı oturumları ele geçirerek şi...

Dark web forumlarında satılan yeni bir uzaktan erişim truva atı, kripto para birimini boşaltmak, kurbanların oturum açtığı oturumları ele geçirerek şifreleri ve çok faktörlü kontrolleri aşmak için geliştirildi.

SilabRAT olarak adlandırılan kötü amaçlı yazılım, Group-IB'nin yeni analizinde ayrıntılı olarak ele alındı ​​ve 2025'in sonlarından bu yana ayda 5000 ABD Doları tutarında bir hizmet olarak kötü amaçlı yazılım (MaaS) teklifi olarak tanıtıldığı tespit edildi.

O1oo1 olarak bilinen Rusça konuşan bir aktör olan geliştiricisi, aynı zamanda AsmCrypt adında bir kod gizleme aracı da satıyor ve her ikisini de alan alıcılara indirim yapıyor.

Sistem Güvenliği

Alıcılar kendi kampanyalarını yürütürler, genellikle SilabRAT'ı e-posta spam'ı ve ClickFix tuzakları yoluyla yayarlar ve antivirüs araçları bunu sıklıkla yük yerine HijackLoader paketleyicisi olarak kaydeder. Bir operatör, virüs bulaşan makinelerin %90'ından fazlasının bir ay süren kampanya boyunca çevrimiçi kaldığını iddia etti.

Detaylar ve Etkileri

Oturum çalan kötü amaçlı yazılımlar hakkında daha fazlasını okuyun: Yeni 'Fırtına' Bilgi Hırsızı, Çalınan Kimlik Bilgilerinin Şifresini Uzaktan Çözüyor

Gizli Kontrol ve Klonlanmış Tarayıcılar

İki özellik SilabRAT'ı diğerlerinden ayırıyor. Birincisi, gizli bir sanal ağ bilgi işlem (HVNC) çözümü, operatörün bir makineyi görünür pencereler veya imleç hareketi olmadan kontrol etmesine olanak tanır. Etkinlik kurbanın kendi cihazından ve IP adresinden geldiğinden, güvenlik araçları bunu genellikle meşru bir oturum olarak ele alır.

Teknik Analiz

İkincisi, tarayıcı profili klonlama, çerezleri çalmanın ötesine geçer. Modern siteler, oturumları bir cihazın parmak izine veya IP'sine bağlar; bu nedenle SilabRAT, oturumu bozulmadan canlandırmak için uzantılar, depolama ve parmak izi özellikleri dahil olmak üzere tüm tarayıcı profilini saldırganın sistemine kopyalar.

İki bağlantı: Paketlenmiş bir DLL, Target.dll, düşük seviyeli dosya çağrılarını kancalar, böylece tarayıcı klonlanmış profili açar ve gerçek masaüstüne dokunulmadan gizli oturumun kurbanın canlı verileri üzerinde çalışmasına izin verir.

Uzmanların Görüşleri

Kripto Cüzdanlarını Boşaltmak İçin Geliştirildi

Kazancı kripto para birimidir. Bir arka plan modülü sürekli olarak çalışıyor, yeni enfeksiyonlara karşı cüzdan arıyor ve kurbanın tarayıcısından alınan kimlik bilgileriyle şifrelerini kırmaya çalışıyor ve desteklenen cüzdanların yerleşik bir listesi üzerinden çalışıyor.

Gelecekte Ne Bekleniyor?

Bu tarayıcı sırlarına ulaşmak için SilabRAT, COM yükseltme tekniğiyle Chrome'un Uygulamaya Bağlı Şifrelemesini atlarken, bir pano kesme makinesi, saldırganın işlemin ortasında kopyalanan bir cüzdan adresini değiştirebilir.

Bunları olağan emtia-RAT araç seti ile eşleştirir:

Nasıl Önlem Alınmalı?

Tuş vuruşu günlüğü ve pano yakalama

TightVNC üzerinden uzak masaüstü erişimi

Sonuç ve Değerlendirme

LockBit ve BlackMatter tarafından da kullanılan bir kullanıcı hesabı kontrolü bypass'ı

Kayıt defteri anahtarları veya zamanlanmış görevler aracılığıyla kalıcılık

Önemli Gelişmeler

Group-IB, geliştiricinin Ledger Live ve Trezor Suite gibi Electron tabanlı cüzdan uygulamalarına kod ekleme planına işaret ederek kripto odağının derinleşmesini bekliyor.

Tehdidi köreltmek için şirket, savunucuları çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılmaya, Chrome'u yamalı tutmaya ve kimlik avı ve web filtrelemeyi hızlandırmaya çağırırken, ele geçirilen bir oturumun yine de bir şifre istemini geçebileceği konusunda uyardı.

Paylaş: