Microsoft, son zamanlarda tespit ettiği ve "StilachiRAT" olarak adlandırılan yeni bir uzaktan erişim truva atını (RAT) gündeme getirdi. Bu zararlı yazılım, gelişmiş teknikler kullanarak tespit edilmekten kaçınmayı ve hedef sistemlerde sürekli kalmayı başarıyor. Microsoft’un yaptığı açıklamaya göre StilachiRAT, özellikle kimlik bilgilerini, kripto cüzdanlarını ve kullanıcıların diğer hassas verilerini çalmayı amaçlıyor.
STİLACHİRAT'IN YETENEKLERİ
StilachiRAT, tespit edilmekten kaçınmak için güçlü yöntemler kullanıyor. Zararlı yazılım, hedef sistemlerden tarayıcıda saklanan kimlik bilgileri, dijital cüzdan bilgileri, panoya kopyalanan veriler ve sistem bilgileri gibi bilgileri çalabiliyor. Microsoft’un İnceleme Ekibi, zararlı yazılımın 2024 Kasım ayında keşfedildiğini belirtti. StilachiRAT, "WWStartupCtrl64.dll" adlı bir DLL modülü aracılığıyla kendini sistemlere yerleştiriyor.
Microsoft, bu zararlı yazılımın hangi yolla dağıtıldığına dair net bir bilgi sağlamazken, tıpkı diğer RAT’lar gibi StilachiRAT’ın çeşitli yollarla hedef sistemlere yerleşebileceğini belirtiyor. Bu nedenle, organizasyonların güçlü güvenlik önlemleri alması gerektiği vurgulanıyor.
HEDEF ALINAN KRİPTO CÜZDANLARI
StilachiRAT, hedef aldığı sistemlerden kapsamlı bilgi toplayabiliyor. Bu bilgiler arasında işletim sistemi (OS) bilgileri, donanım tanımlayıcıları, BIOS seri numaraları, aktif uzaktan masaüstü protokolü (RDP) oturumları, çalışan GUI (grafiksel kullanıcı arayüzü) uygulamaları gibi veriler yer alıyor. Zararlı yazılım, bu bilgileri Web Tabanlı Kurumsal Yönetim (WBEM) arabirimlerini kullanarak topluyor.
Ayrıca, StilachiRAT, Google Chrome tarayıcısına kurulu olan bir dizi kripto cüzdan eklentisini hedef alıyor. Bu liste, Bitget Wallet, Trust Wallet, MetaMask, TokenPocket, BNB Chain Wallet gibi pek çok popüler cüzdanı içeriyor. Bu eklentilere dair bilgilerin çalınması, özellikle kripto para kullanıcıları için ciddi bir tehdit oluşturuyor.
RDP OTURUMLARINI TAKİP ETME
StilachiRAT, ayrıca tarayıcıda saklanan şifreleri ve kripto cüzdan bilgilerini de düzenli aralıklarla topluyor. Bunun yanı sıra, RDP oturumlarını izleyerek ön plandaki pencere bilgilerini yakalıyor ve bu verileri uzak bir sunucuya gönderiyor. Zararlı yazılımın komut ve kontrol (C2) sunucusuyla olan iki yönlü iletişimi sayesinde, zararlı yazılım kullanıcıların sistemlerine müdahale edebiliyor ve komutlar gönderebiliyor.
Zararlı yazılım, 10 farklı komutu destekliyor. Bunlar arasında, uygulama başlatma, ağ bağlantıları kurma, Windows sistemini kapatma gibi işlemler yer alıyor. Ayrıca, sistemdeki açık pencereleri tarayarak belirli başlık çubuklarına sahip olanları listeleyebiliyor ve Google Chrome şifrelerini çalabiliyor.
TESPİT EDİLMEKTEN KAÇINMA STRATEJİLERİ
StilachiRAT, tespit edilmekten kaçınmak için çeşitli anti-forensic yani delil karartma teknikleri kullanıyor. Örneğin, sistemdeki olay günlüklerini temizliyor ve analiz araçlarını veya sanal ortamları tespit etmek için sürekli kontroller yapıyor. Bu tür davranışlar, zararlı yazılımın, güvenlik araştırmacılarının analiz yapmasını engellemeye çalıştığını gösteriyor.
YENİ TEHDİTLER VE GÜVENLİK ÖNLEMLERİ
Microsoft’un bu açıklaması, Palo Alto Networks’ün Unit 42 biriminin geçtiğimiz yıl tespit ettiği bazı sıra dışı zararlı yazılım örnekleri ile de örtüşüyor. Bu örnekler arasında bir C++/CLI ile geliştirilmiş pasif bir IIS (Internet Information Services) geri kapısı, bir bootkit ve bir Windows implantı yer alıyordu. Bu tür tehditler, siber güvenlik uzmanlarının karşılaştığı yeni tehditleri ve saldırı tekniklerini gözler önüne seriyor.
