Microsoft’tan StilachiRAT açıklaması: Kimlik bilgileri ve kripto cüzdanlarını hedef alıyor

Microsoft, son
zamanlarda tespit ettiği ve “StilachiRAT” olarak adlandırılan yeni
bir uzaktan erişim truva atını (RAT) gündeme getirdi. Bu zararlı
yazılım, gelişmiş teknikler kullanarak tespit edilmekten kaçınmayı
ve hedef sistemlerde sürekli kalmayı başarıyor.
Microsoft’un yaptığı açıklamaya göre StilachiRAT,
özellikle kimlik bilgilerini, kripto cüzdanlarını ve kullanıcıların
diğer hassas verilerini çalmayı amaçlıyor.

StilachiRAT’ın Yetenekleri ve İleri Düzey
Gizlilik

StilachiRAT, tespit edilmekten
kaçınmak için güçlü yöntemler kullanıyor. Zararlı yazılım, hedef
sistemlerden tarayıcıda saklanan kimlik bilgileri, dijital cüzdan
bilgileri, panoya kopyalanan veriler ve sistem bilgileri gibi
bilgileri çalabiliyor. Microsoft’un İnceleme Ekibi, zararlı
yazılımın 2024 Kasım ayında keşfedildiğini belirtti. StilachiRAT, “WWStartupCtrl64.dll” adlı bir DLL modülü aracılığıyla kendini
sistemlere yerleştiriyor.

Microsoft, bu
zararlı yazılımın hangi yolla dağıtıldığına dair net bir bilgi
sağlamazken, tıpkı diğer RAT’lar gibi StilachiRAT’ın çeşitli
yollarla hedef sistemlere yerleşebileceğini belirtiyor. Bu nedenle,
organizasyonların güçlü güvenlik önlemleri alması gerektiği
vurgulanıyor.

Hedef Alınan Kripto Cüzdanları ve Diğer Sistem
Verileri

StilachiRAT,
hedef aldığı sistemlerden kapsamlı bilgi toplayabiliyor. Bu
bilgiler arasında işletim sistemi (OS) bilgileri, donanım
tanımlayıcıları, BIOS seri numaraları, aktif uzaktan masaüstü
protokolü (RDP) oturumları, çalışan GUI (grafiksel kullanıcı
arayüzü) uygulamaları gibi veriler yer alıyor. Zararlı yazılım, bu
bilgileri Web Tabanlı Kurumsal Yönetim (WBEM) arabirimlerini
kullanarak topluyor.

Ayrıca,
StilachiRAT, Google Chrome tarayıcısına kurulu
olan bir dizi kripto cüzdan eklentisini hedef alıyor. Bu liste,
Bitget Wallet, Trust Wallet, MetaMask, TokenPocket, BNB Chain
Wallet gibi pek çok popüler cüzdanı içeriyor. Bu eklentilere dair
bilgilerin çalınması, özellikle kripto para kullanıcıları için
ciddi bir tehdit oluşturuyor.

RDP Oturumlarını Takip Etme ve Diğer Kötü Amaçlı
Yetenekler

StilachiRAT,
ayrıca tarayıcıda saklanan şifreleri ve kripto cüzdan bilgilerini
de düzenli aralıklarla topluyor. Bunun yanı sıra, RDP oturumlarını
izleyerek ön plandaki pencere bilgilerini yakalıyor ve bu verileri
uzak bir sunucuya gönderiyor. Zararlı yazılımın komut ve kontrol
(C2) sunucusuyla olan iki yönlü iletişimi sayesinde, zararlı
yazılım kullanıcıların sistemlerine müdahale edebiliyor ve komutlar
gönderebiliyor.

Zararlı yazılım, 10 farklı
komutu destekliyor. Bunlar arasında, uygulama başlatma, ağ
bağlantıları kurma, Windows sistemini kapatma gibi işlemler yer
alıyor. Ayrıca, sistemdeki açık pencereleri tarayarak belirli
başlık çubuklarına sahip olanları listeleyebiliyor ve Google Chrome
şifrelerini çalabiliyor.

Tespit Edilmekten Kaçınma Stratejileri

StilachiRAT,
tespit edilmekten kaçınmak için çeşitli anti-forensic yani delil
karartma teknikleri kullanıyor. Örneğin, sistemdeki olay
günlüklerini temizliyor ve analiz araçlarını veya sanal ortamları
tespit etmek için sürekli kontroller yapıyor. Bu tür davranışlar,
zararlı yazılımın, güvenlik araştırmacılarının analiz yapmasını
engellemeye çalıştığını gösteriyor.

Yeni Tehditler ve Güvenlik Önlemleri

Microsoft’un
bu açıklaması, Palo Alto Networks’ün Unit 42 biriminin geçtiğimiz
yıl tespit ettiği bazı sıra dışı zararlı yazılım örnekleri ile de
örtüşüyor. Bu örnekler arasında bir C++/CLI ile geliştirilmiş pasif
bir IIS (Internet Information Services) geri kapısı, bir bootkit ve
bir Windows implantı yer alıyordu. Bu tür tehditler, siber güvenlik
uzmanlarının karşılaştığı yeni tehditleri ve saldırı tekniklerini
gözler önüne seriyor.

Sonuç ve Uyarılar

StilachiRAT, her geçen gün
daha da karmaşık hale gelen ve zararlı yazılım dünyasında daha
fazla gizlilik ve güvenlik açığı arayan saldırganlar için ciddi bir
tehdit oluşturuyor. Özellikle kripto para kullanıcıları ve kurumsal
sistemlerdeki güvenlik açıkları bu tür zararlı yazılımlara karşı
korunmak için ek önlemler almayı zorunlu hale getiriyor. Microsoft,
kullanıcıları bu tür tehditlere karşı daha dikkatli olmaya ve
güncel güvenlik yazılımlarını kullanmaya teşvik ediyor.