Dark web forumlarında satılan yeni bir uzaktan erişim truva atı, kripto para birimini boşaltmak, kurbanların oturum açtığı oturumları ele geçirerek şifreleri ve çok faktörlü kontrolleri aşmak için geliştirildi.
SilabRAT olarak adlandırılan kötü amaçlı yazılım, Group-IB'nin yeni analizinde ayrıntılı olarak ele alındı ve 2025'in sonlarından bu yana ayda 5000 ABD Doları tutarında bir hizmet olarak kötü amaçlı yazılım (MaaS) teklifi olarak tanıtıldığı tespit edildi.
O1oo1 olarak bilinen Rusça konuşan bir aktör olan geliştiricisi, aynı zamanda AsmCrypt adında bir kod gizleme aracı da satıyor ve her ikisini de alan alıcılara indirim yapıyor.
Sistem Güvenliği
Alıcılar kendi kampanyalarını yürütürler, genellikle SilabRAT'ı e-posta spam'ı ve ClickFix tuzakları yoluyla yayarlar ve antivirüs araçları bunu sıklıkla yük yerine HijackLoader paketleyicisi olarak kaydeder. Bir operatör, virüs bulaşan makinelerin %90'ından fazlasının bir ay süren kampanya boyunca çevrimiçi kaldığını iddia etti.
Detaylar ve Etkileri
Oturum çalan kötü amaçlı yazılımlar hakkında daha fazlasını okuyun: Yeni 'Fırtına' Bilgi Hırsızı, Çalınan Kimlik Bilgilerinin Şifresini Uzaktan Çözüyor
Gizli Kontrol ve Klonlanmış Tarayıcılar
İki özellik SilabRAT'ı diğerlerinden ayırıyor. Birincisi, gizli bir sanal ağ bilgi işlem (HVNC) çözümü, operatörün bir makineyi görünür pencereler veya imleç hareketi olmadan kontrol etmesine olanak tanır. Etkinlik kurbanın kendi cihazından ve IP adresinden geldiğinden, güvenlik araçları bunu genellikle meşru bir oturum olarak ele alır.
Teknik Analiz
İkincisi, tarayıcı profili klonlama, çerezleri çalmanın ötesine geçer. Modern siteler, oturumları bir cihazın parmak izine veya IP'sine bağlar; bu nedenle SilabRAT, oturumu bozulmadan canlandırmak için uzantılar, depolama ve parmak izi özellikleri dahil olmak üzere tüm tarayıcı profilini saldırganın sistemine kopyalar.
İki bağlantı: Paketlenmiş bir DLL, Target.dll, düşük seviyeli dosya çağrılarını kancalar, böylece tarayıcı klonlanmış profili açar ve gerçek masaüstüne dokunulmadan gizli oturumun kurbanın canlı verileri üzerinde çalışmasına izin verir.
Uzmanların Görüşleri
Kripto Cüzdanlarını Boşaltmak İçin Geliştirildi
Kazancı kripto para birimidir. Bir arka plan modülü sürekli olarak çalışıyor, yeni enfeksiyonlara karşı cüzdan arıyor ve kurbanın tarayıcısından alınan kimlik bilgileriyle şifrelerini kırmaya çalışıyor ve desteklenen cüzdanların yerleşik bir listesi üzerinden çalışıyor.
Gelecekte Ne Bekleniyor?
Bu tarayıcı sırlarına ulaşmak için SilabRAT, COM yükseltme tekniğiyle Chrome'un Uygulamaya Bağlı Şifrelemesini atlarken, bir pano kesme makinesi, saldırganın işlemin ortasında kopyalanan bir cüzdan adresini değiştirebilir.
Bunları olağan emtia-RAT araç seti ile eşleştirir:
Nasıl Önlem Alınmalı?
Tuş vuruşu günlüğü ve pano yakalama
TightVNC üzerinden uzak masaüstü erişimi
Sonuç ve Değerlendirme
LockBit ve BlackMatter tarafından da kullanılan bir kullanıcı hesabı kontrolü bypass'ı
Kayıt defteri anahtarları veya zamanlanmış görevler aracılığıyla kalıcılık
Önemli Gelişmeler
Group-IB, geliştiricinin Ledger Live ve Trezor Suite gibi Electron tabanlı cüzdan uygulamalarına kod ekleme planına işaret ederek kripto odağının derinleşmesini bekliyor.
Tehdidi köreltmek için şirket, savunucuları çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılmaya, Chrome'u yamalı tutmaya ve kimlik avı ve web filtrelemeyi hızlandırmaya çağırırken, ele geçirilen bir oturumun yine de bir şifre istemini geçebileceği konusunda uyardı.