Kaspersky Global Research & Analysis Team (GReAT), daha önce belgelenmemiş, oldukça geniş yetenek setine sahip bir RAT’in dağıtıldığı aktif bir zararlı yazılım kampanyasını ortaya çıkardı. Standart uzaktan erişim truva atı işlevlerinin ötesine geçen bu zararlı; stealer (veri hırsızı), keylogger (tuş kaydedici), clipper ve casus yazılım özelliklerini tek bir yapıda birleştiriyor. Siber suçlular tarafından MaaS (malware-as-a-service / hizmet olarak zararlı yazılım) modeliyle üçüncü taraflara sunulan bu araç, YouTube ve Telegram üzerinden tanıtılıyor. Bu durum, daha az teknik bilgiye sahip aktörler de dahil olmak üzere çok daha geniş bir kullanıcı kitlesi tarafından kullanılma riskini artırıyor.
Stealer özellikleri sayesinde zararlı yazılım, kurban hakkında geniş kapsamlı veri toplayabiliyor: sistem bilgilerini derliyor, Steam, Discord ve Telegram hesaplarına ait kimlik bilgilerini ele geçiriyor ve web tarayıcılarından veri çekebiliyor. Ayrıca kripto para kullanıcıları için de ciddi bir tehdit oluşturuyor; tarayıcı tabanlı clipper özelliği ile kripto cüzdan adreslerini değiştirerek işlemleri manipüle edebiliyor.
Veri hırsızlığının ötesinde, CrystalX RAT tam kapsamlı bir gözetim aracı olarak da konumlanıyor. Ekran görüntüsü alma, mikrofon üzerinden ses kaydetme ve hem web kamerasından hem de ekran üzerinden video yakalama gibi yeteneklere sahip.
Zararlının dikkat çeken unsurlarından biri ise geliştiriciler tarafından özellikle öne çıkarılan “eğlenceli” prankware (şaka yazılımı) özellikleri. Bu işlevler sayesinde saldırganlar, kurbanın sistemine doğrudan müdahale edebiliyor: fare imlecini hareket ettirmek, masaüstü arka planını değiştirmek, ekran yönünü döndürmek, masaüstü simgelerini gizlemek, sistemi zorla kapatmak ve hatta gerçek zamanlı açılır mesajlar göndermek mümkün. İlk bakışta zararsız gibi görünen bu özellikler, saldırıya görünürlük ve psikolojik baskı boyutu ekleyerek kurban üzerinde rahatsız edici bir etki yaratıyor.
Saldırgan-mağdur sohbet penceresi
Kaspersky, saldırıların şu an için Rusya’daki kullanıcıları hedef aldığını bildiriyor. Ancak satış ve dağıtım modeli göz önüne alındığında, zararlının farklı ülkelere yayılma potansiyeli oldukça yüksek.
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Leonid Bezvershenko konuyla ilgili olarak şunları söylüyor:
“Bu denli kapsamlı bir yetenek seti, kurbanın adeta 360 derece ele geçirilmesine ve gizliliğin tamamen ortadan kalkmasına yol açıyor. Hesap erişim bilgilerinin ele geçirilmesinin ötesinde, çalınan veriler şantaj amacıyla da kullanılabilir. İlk bulaşma vektörü henüz net olarak belirlenebilmiş değil, ancak şimdiden onlarca kurbanı etkilediği görülüyor. Telemetri verilerimiz, zararlının yeni versiyonlarının da tespit edildiğini gösteriyor; bu da aktif olarak geliştirilmeye ve sürdürülmeye devam ettiğine işaret ediyor. Önümüzdeki dönemde hem kurban sayısının hem de coğrafi yayılımın önemli ölçüde artmasını bekliyoruz.”
CrystalX RAT ve göstergeleri hakkında daha fazla bilgi edinmek için Securelist.com üzerindeki detaylı rapor incelenebilir.
Kaspersky, kullanıcıların güvende kalabilmesi için şu önerilerde bulunuyor:
- Mesajlaşma uygulamaları veya e-posta yoluyla alınan ve zararlı yazılım çalıştırma riski taşıyan dosyaları açarken veya indirirken son derece dikkatli olun.
- İndirmeler konusunda seçici davranın. Oyunları ve modları yalnızca resmi kaynaklardan veya güvenilir web sitelerinden yüklemek daha güvenlidir. Gayriresmi kaynaklar zararlı yazılım içerebilir.
- Tüm bilgisayar ve mobil cihazlarınızda, sizi uyaracak ve olası enfeksiyonlarıönleyecek Kaspersky Premiumgibi güçlü bir güvenlik çözümü kullanın.
- Windows ayarlarından “dosya uzantılarını göster” seçeneğini etkinleştirebilirsiniz. Bu, potansiyel olarak zararlı dosyaları ayırt etmenizi kolaylaştıracaktır. Truva atları birer program olduğu için; “exe”, “vbs” ve “scr” gibi dosya uzantılarına sahip şüpheli dosyalardan uzak durmalısınız. Siber suçlular, zararlı bir dosyayı video, fotoğraf veya belge gibi göstermek için birden fazla uzantı kullanabilir.
- E-posta yoluyla gönderilen bildirimlere karşı tetikte olun. Siber suçlular genellikle bir çevrimiçi mağaza veya bankadan gelmiş gibi görünen sahte e-postalar hazırlayarak kullanıcıyı zararlı bir bağlantıya tıklamaya ve yazılımı yaymaya teşvik eder.
Kaynak : 