Kaspersky, veri çalan ve kullanıcıları hedef alarak sistemlerine müdahale eden CrystalX RAT’i tespit etti.
Yeni uzaktan erişim truva atı (RAT), sadece veri çalmakla ve kurbanlarını tam kapsamlı gözetlemekle kalmıyor, aynı zamanda onlarla dalga geçebilecek özellikler barındırıyor.
CrystalX RAT’in Özellikleri
Kaspersky Global Research & Analysis Team (GReAT), daha önce belgelenmemiş, oldukça geniş yetenek setine sahip bir RAT’in dağıtıldığı aktif bir zararlı yazılım kampanyasını ortaya çıkardı. Standart uzaktan erişim truva atı işlevlerinin ötesine geçen bu zararlı; stealer (veri hırsızı), keylogger (tuş kaydedici), clipper ve casus yazılım özelliklerini tek bir yapıda birleştiriyor. Siber suçlular tarafından MaaS (malware-as-a-service / hizmet olarak zararlı yazılım) modeliyle üçüncü taraflara sunulan bu araç, YouTube ve Telegram üzerinden tanıtılıyor. Bu durum, daha az teknik bilgiye sahip aktörler de dahil olmak üzere çok daha geniş bir kullanıcı kitlesi tarafından kullanılma riskini artırıyor.
Stealer özellikleri sayesinde zararlı yazılım, kurban hakkında geniş kapsamlı veri toplayabiliyor: sistem bilgilerini derliyor, Steam, Discord ve Telegram hesaplarına ait kimlik bilgilerini ele geçiriyor ve web tarayıcılarından veri çekebiliyor. Ayrıca kripto para kullanıcıları için de ciddi bir tehdit oluşturuyor; tarayıcı tabanlı clipper özelliği ile kripto cüzdan adreslerini değiştirerek işlemleri manipüle edebiliyor.
Gözetim ve Prankware Özellikleri
Veri hırsızlığının ötesinde, CrystalX RAT tam kapsamlı bir gözetim aracı olarak da konumlanıyor. Ekran görüntüsü alma, mikrofon üzerinden ses kaydetme ve hem web kamerasından hem de ekran üzerinden video yakalama gibi yeteneklere sahip.
Zararlının dikkat çeken unsurlarından biri ise geliştiriciler tarafından özellikle öne çıkarılan “eğlenceli” prankware (şaka yazılımı) özellikleri. Bu işlevler sayesinde saldırganlar, kurbanın sistemine doğrudan müdahale edebiliyor: fare imlecini hareket ettirmek, masaüstü arka planını değiştirmek, ekran yönünü döndürmek, masaüstü simgelerini gizlemek, sistemi zorla kapatmak ve hatta gerçek zamanlı açılır mesajlar göndermek mümkün. İlk bakışta zararsız gibi görünen bu özellikler, saldırıya görünürlük ve psikolojik baskı boyutu ekleyerek kurban üzerinde rahatsız edici bir etki yaratıyor.
Yayılma Potansiyeli ve Uzman Görüşü
Kaspersky, saldırıların şu an için Rusya’daki kullanıcıları hedef aldığını bildiriyor. Ancak satış ve dağıtım modeli göz önüne alındığında, zararlının farklı ülkelere yayılma potansiyeli oldukça yüksek.
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Leonid Bezvershenko konuyla ilgili olarak şunları söylüyor: “Bu denli kapsamlı bir yetenek seti, kurbanın adeta 360 derece ele geçirilmesine ve gizliliğin tamamen ortadan kalkmasına yol açıyor. Hesap erişim bilgilerinin ele geçirilmesinin ötesinde, çalınan veriler şantaj amacıyla da kullanılabilir. İlk bulaşma vektörü henüz net olarak belirlenebilmiş değil, ancak şimdiden onlarca kurbanı etkilediği görülüyor. Telemetri verilerimiz, zararlının yeni versiyonlarının da tespit edildiğini gösteriyor; bu da aktif olarak geliştirilmeye ve sürdürülmeye devam ettiğine işaret ediyor. Önümüzdeki dönemde hem kurban sayısının hem de coğrafi yayılımın önemli ölçüde artmasını bekliyoruz.”
Kullanıcılar İçin Güvenlik Önerileri
Kaspersky, kullanıcıların güvende kalabilmesi için şu önerilerde bulunuyor:
Mesajlaşma uygulamaları veya e-posta yoluyla alınan ve zararlı yazılım çalıştırma riski taşıyan dosyaları açarken veya indirirken son derece dikkatli olun.
İndirmeler konusunda seçici davranın. Oyunları ve modları yalnızca resmi kaynaklardan veya güvenilir web sitelerinden yüklemek daha güvenlidir. Gayriresmi kaynaklar zararlı yazılım içerebilir.
Tüm bilgisayar ve mobil cihazlarınızda, sizi uyaracak ve olası enfeksiyonları önleyecek Kaspersky Premium gibi güçlü bir güvenlik çözümü kullanın.
Windows ayarlarından “dosya uzantılarını göster” seçeneğini etkinleştirebilirsiniz. Bu, potansiyel olarak zararlı dosyaları ayırt etmenizi kolaylaştıracaktır. Truva atları birer program olduğu için; “exe”, “vbs” ve “scr” gibi dosya uzantılarına sahip şüpheli dosyalardan uzak durmalısınız. Siber suçlular, zararlı bir dosyayı video, fotoğraf veya belge gibi göstermek için birden fazla uzantı kullanabilir.
E-posta yoluyla gönderilen bildirimlere karşı tetikte olun. Siber suçlular genellikle bir çevrimiçi mağaza veya bankadan gelmiş gibi görünen sahte e-postalar hazırlayarak kullanıcıyı zararlı bir bağlantıya tıklamaya ve yazılımı yaymaya teşvik eder.
Detaylı Bilgi ve Rapor
CrystalX RAT ve göstergeleri hakkında daha fazla bilgi edinmek için Securelist.com üzerindeki detaylı rapor incelenebilir.
Kaspersky Hakkında
Kaspersky, 1997 yılında kurulmuş küresel bir siber güvenlik ve dijital gizlilik şirketidir. Bugüne kadar bir milyardan fazla cihazı yeni ortaya çıkan siber tehditlere ve hedefli saldırılara karşı koruyan Kaspersky’nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünyanın dört bir yanındaki bireyleri, işletmeleri, kritik altyapıları ve devletleri korumak için sürekli olarak yenilikçi çözümlere ve hizmetlere dönüşüyor.
Şirketin kapsamlı güvenlik portföyü, kişisel cihazlar için lider dijital yaşam koruması, şirketler için özel güvenlik ürünleri ve hizmetlerinin yanı sıra sofistike ve gelişen dijital tehditlerle mücadele etmek için Cyber Immune çözümlerini içeriyor. Milyonlarca bireyin ve yaklaşık 200.000 kurumsal müşterinin kendileri için en önemli şeyleri korumalarına yardımcı oluyoruz. www.kaspersky.com adresinde daha fazla bilgi edinebilirsiniz.
Yorumlar kapalı.