Microsoft, son zamanlarda tespit ettiği yeni bir uzaktan erişim truva atı (RAT) olan StilachiRAT’ı gündeme getirdi. Bu zararlı yazılım, gelişmiş teknikler kullanarak tespit edilmekten kaçınmayı ve hedef sistemlerde kalıcı bir varlık oluşturmayı başarıyor. Microsoft’un açıklamasına göre StilachiRAT, özellikle kimlik bilgileri, kripto cüzdanları ve kullanıcıların diğer hassas verilerini çalmayı hedefliyor.
StilachiRAT’ın Yetenekleri ve İleri Düzey Gizlilik
StilachiRAT, tespit edilmekten kaçınmak için güçlü yöntemler kullanıyor. Bu zararlı yazılım, hedef sistemlerden tarayıcıda saklanan kimlik bilgileri, dijital cüzdan bilgileri, panoya kopyalanan veriler ve sistem bilgileri gibi önemli verileri çalabiliyor. Microsoft’un İnceleme Ekibi, bu zararlı yazılımın 2024 Kasım ayında keşfedildiğini belirtti. StilachiRAT, “WWStartupCtrl64.dll” adlı bir DLL modülü aracılığıyla kendini sistemlere yerleştiriyor.
Dağıtım Yöntemleri ve Güvenlik Önlemleri
Microsoft, StilachiRAT’ın hangi yollarla dağıtıldığına dair net bir bilgi vermezken, diğer RAT’lar gibi çeşitli yollarla hedef sistemlere yerleşebileceğini ifade ediyor. Bu nedenle, organizasyonların güçlü güvenlik önlemleri alması gerektiği vurgulanıyor.
Hedef Alınan Kripto Cüzdanları ve Diğer Sistem Verileri
StilachiRAT, hedef aldığı sistemlerden kapsamlı bilgi toplayabiliyor. Bu bilgiler arasında:
- İşletim sistemi (OS) bilgileri
- Donanım tanımlayıcıları
- BIOS seri numaraları
- Aktif uzaktan masaüstü protokolü (RDP) oturumları
- Çalışan GUI (grafiksel kullanıcı arayüzü) uygulamaları
Bu bilgileri, Web Tabanlı Kurumsal Yönetim (WBEM) arabirimleri aracılığıyla topluyor. Ayrıca, StilachiRAT, Google Chrome tarayıcısına kurulu bir dizi kripto cüzdan eklentisini hedef alıyor. Bu eklentiler arasında Bitget Wallet, Trust Wallet, MetaMask, TokenPocket ve BNB Chain Wallet gibi popüler cüzdanlar yer alıyor. Bu eklentilere dair bilgilerin çalınması, özellikle kripto para kullanıcıları için ciddi bir tehdit oluşturuyor.
RDP Oturumlarını Takip Etme ve Diğer Kötü Amaçlı Yetenekler
StilachiRAT, tarayıcıda saklanan şifreleri ve kripto cüzdan bilgilerini düzenli aralıklarla toplayabiliyor. Ayrıca, RDP oturumlarını izleyerek ön plandaki pencere bilgilerini yakalıyor ve bu verileri uzak bir sunucuya gönderiyor. Zararlı yazılımın komut ve kontrol (C2) sunucusuyla olan iki yönlü iletişimi sayesinde, kullanıcıların sistemlerine müdahale edebiliyor ve komutlar gönderebiliyor. StilachiRAT, 10 farklı komutu destekliyor. Bu komutlar arasında:
- Uygulama başlatma
- Ağ bağlantıları kurma
- Windows sistemini kapatma
Ayrıca, sistemdeki açık pencereleri tarayarak belirli başlık çubuklarına sahip olanları listeleyebiliyor ve Google Chrome şifrelerini çalabiliyor.
Tespit Edilmekten Kaçınma Stratejileri
StilachiRAT, tespit edilmekten kaçınmak için çeşitli anti-forensic yani delil karartma teknikleri kullanıyor. Örneğin, sistemdeki olay günlüklerini temizliyor ve analiz araçlarını veya sanal ortamları tespit etmek için sürekli kontroller gerçekleştiriyor. Bu tür davranışlar, zararlı yazılımın güvenlik araştırmacılarının analiz yapmasını engellemeye çalıştığını gösteriyor.
Yeni Tehditler ve Güvenlik Önlemleri
Microsoft’un bu açıklaması, Palo Alto Networks’ün Unit 42 biriminin geçtiğimiz yıl tespit ettiği bazı sıra dışı zararlı yazılım örnekleri ile de örtüşüyor. Bu örnekler arasında, C++/CLI ile geliştirilmiş pasif bir IIS (Internet Information Services) geri kapısı, bir bootkit ve bir Windows implantı yer alıyordu. Bu tür tehditler, siber güvenlik uzmanlarının karşılaştığı yeni tehditleri ve saldırı tekniklerini gözler önüne seriyor.
Sonuç ve Uyarılar
StilachiRAT, giderek daha karmaşık hale gelen ve zararlı yazılım dünyasında daha fazla gizlilik ve güvenlik açığı arayan saldırganlar için ciddi bir tehdit oluşturuyor. Özellikle kripto para kullanıcıları ve kurumsal sistemlerdeki güvenlik açıkları, bu tür zararlı yazılımlara karşı korunmak için ek önlemler almayı zorunlu hale getiriyor. Microsoft, kullanıcıları bu tür tehditlere karşı daha dikkatli olmaya ve güncel güvenlik yazılımlarını kullanmaya teşvik ediyor.
