Kaspersky, bilgi çalan ve kullanıcıları maksat alarak sistemlerine müdahale eden CrystalX RAT’i tespit etti

0

BEĞENDİM

ABONE OL

News

0

Yeni uzaktan erişim truva atı (RAT), yalnızca data çalmakla ve kurbanlarını tam kapsamlı gözetlemekle kalmıyor, tıpkı vakitte onlarla dalga geçebilecek özellikler barındırıyor.

Kaspersky Küresel Research & Analysis Team (GReAT), daha evvel belgelenmemiş, epeyce geniş yetenek setine sahip bir RAT’in dağıtıldığı faal bir ziyanlı yazılım kampanyasını ortaya çıkardı. Standart uzaktan erişim truva atı fonksiyonlarının ötesine geçen bu ziyanlı; stealer (veri hırsızı), keylogger (tuş kaydedici), clipper ve casus yazılım özelliklerini tek bir yapıda birleştiriyor. Siber hatalılar tarafından MaaS (malware-as-a-service / hizmet olarak ziyanlı yazılım) modeliyle üçüncü taraflara sunulan bu araç, YouTube ve Telegram üzerinden tanıtılıyor. Bu durum, daha az teknik bilgiye sahip aktörler de dahil olmak üzere çok daha geniş bir kullanıcı kitlesi tarafından kullanılma riskini artırıyor.

Stealer özellikleri sayesinde ziyanlı yazılım, kurban hakkında geniş kapsamlı data toplayabiliyor: sistem bilgilerini derliyor, Steam, Discord ve Telegram hesaplarına ilişkin kimlik bilgilerini ele geçiriyor ve web tarayıcılarından data çekebiliyor. Ayrıyeten kripto para kullanıcıları için de önemli bir tehdit oluşturuyor; tarayıcı tabanlı clipper özelliği ile kripto cüzdan adreslerini değiştirerek süreçleri manipüle edebiliyor.

Veri hırsızlığının ötesinde, CrystalX RAT tam kapsamlı bir nezaret aracı olarak da konumlanıyor. Ekran imajı alma, mikrofon üzerinden ses kaydetme ve hem web kamerasından hem de ekran üzerinden görüntü yakalama üzere yeteneklere sahip.

Zararlının dikkat çeken ögelerinden biri ise geliştiriciler tarafından bilhassa öne çıkarılan “eğlenceli” prankware (şaka yazılımı) özellikleri. Bu fonksiyonlar sayesinde saldırganlar, kurbanın sistemine direkt müdahale edebiliyor: fare imlecini hareket ettirmek, masaüstü art planını değiştirmek, ekran istikametini döndürmek, masaüstü simgelerini gizlemek, sistemi zorla kapatmak ve hatta gerçek vakitli açılır iletiler göndermek mümkün. Birinci bakışta zararsız üzere görünen bu özellikler, hücuma görünürlük ve ruhsal baskı boyutu ekleyerek kurban üzerinde rahatsız edici bir tesir yaratıyor.

Kaspersky, atakların şu an için Rusya’daki kullanıcıları maksat aldığını bildiriyor. Lakin satış ve dağıtım modeli göz önüne alındığında, zararlının farklı ülkelere yayılma potansiyeli epeyce yüksek.

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Leonid Bezvershenko konuyla ilgili olarak şunları söylüyor: “Bu kadar kapsamlı bir yetenek seti, kurbanın adeta 360 derece ele geçirilmesine ve saklılığın büsbütün ortadan kalkmasına yol açıyor. Hesap erişim bilgilerinin ele geçirilmesinin ötesinde, çalınan datalar şantaj hedefiyle da kullanılabilir. Birinci bulaşma vektörü şimdi net olarak belirlenebilmiş değil, fakat şimdiden onlarca kurbanı etkilediği görülüyor. Telemetri bilgilerimiz, zararlının yeni versiyonlarının da tespit edildiğini gösteriyor; bu da faal olarak geliştirilmeye ve sürdürülmeye devam ettiğine işaret ediyor. Önümüzdeki periyotta hem kurban sayısının hem de coğrafik yayılımın kıymetli ölçüde artmasını bekliyoruz.”

CrystalX RAT ve göstergeleri hakkında daha fazla bilgi edinmek için Securelist.com üzerindeki ayrıntılı rapor incelenebilir.

Kaspersky, kullanıcıların inançta kalabilmesi için şu tekliflerde bulunuyor:

• Mesajlaşma uygulamaları yahut e-posta yoluyla alınan ve ziyanlı yazılım çalıştırma riski taşıyan belgeleri açarken yahut indirirken son derece dikkatli olun.

• İndirmeler konusunda seçici davranın. Oyunları ve modları sırf resmi kaynaklardan yahut muteber web sitelerinden yüklemek daha inançlıdır. Gayriresmi kaynaklar ziyanlı yazılım içerebilir.

• Tüm bilgisayar ve taşınabilir aygıtlarınızda, sizi uyaracak ve muhtemel enfeksiyonları önleyecek  Kaspersky Premium gibi güçlü bir güvenlik tahlili kullanın.

• Windows ayarlarından “dosya uzantılarını göster” seçeneğini aktifleştirebilirsiniz. Bu, potansiyel olarak ziyanlı evrakları ayırt etmenizi kolaylaştıracaktır. Truva atları birer program olduğu için; “exe”, “vbs” ve “scr” üzere evrak uzantılarına sahip kuşkulu belgelerden uzak durmalısınız. Siber hatalılar, ziyanlı bir belgeyi görüntü, fotoğraf yahut doküman üzere göstermek için birden fazla uzantı kullanabilir.

• E-posta yoluyla gönderilen bildirimlere karşı tetikte olun. Siber hatalılar ekseriyetle bir çevrimiçi mağaza yahut bankadan gelmiş üzere görünen düzmece e-postalar hazırlayarak kullanıcıyı ziyanlı bir temasa tıklamaya ve yazılımı yaymaya teşvik eder.

CrystalX RAT hakkında daha fazla bilgi edinmek ve güvenlik ihlali göstergelerini (IoC) incelemek için Securelist.com üzerindeki raporu ziyaret edebilirsiniz.

Kaynak: (BYZHA) Beyaz Haber Ajansı