Microsoft’tan StilachiRAT açıklaması: Kimlik bilgileri ve kripto cüzdanlarını hedef alıyor

Microsoft, son vakitlerde tespit ettiği ve “StilachiRAT” olarak isimlendirilen yeni bir uzaktan erişim truva atını (RAT) gündeme getirdi. Bu ziyanlı yazılım, gelişmiş teknikler kullanarak tespit edilmekten kaçınmayı ve amaç sistemlerde daima kalmayı başarıyor. Microsoft’un yaptığı açıklamaya nazaran StilachiRAT, bilhassa kimlik bilgilerini, kripto cüzdanlarını ve kullanıcıların başka hassas bilgilerini çalmayı amaçlıyor.

StilachiRAT’ın Yetenekleri ve İleri Seviye Gizlilik

StilachiRAT, tespit edilmekten kaçınmak için güçlü sistemler kullanıyor. Ziyanlı yazılım, amaç sistemlerden tarayıcıda saklanan kimlik bilgileri, dijital cüzdan bilgileri, panoya kopyalanan datalar ve sistem bilgileri üzere bilgileri çalabiliyor. Microsoft’un İnceleme Takımı, ziyanlı yazılımın 2024 Kasım ayında keşfedildiğini belirtti. StilachiRAT, “WWStartupCtrl64.dll” isimli bir DLL modülü aracılığıyla kendini sistemlere yerleştiriyor.

Microsoft, bu ziyanlı yazılımın hangi yolla dağıtıldığına dair net bir bilgi sağlamazken, tıpkı öteki RAT’lar üzere StilachiRAT’ın çeşitli yollarla amaç sistemlere yerleşebileceğini belirtiyor. Bu nedenle, tertiplerin güçlü güvenlik tedbirleri alması gerektiği vurgulanıyor.

Hedef Alınan Kripto Cüzdanları ve Başka Sistem Verileri

StilachiRAT, gaye aldığı sistemlerden kapsamlı bilgi toplayabiliyor. Bu bilgiler ortasında işletim sistemi (OS) bilgileri, donanım tanımlayıcıları, BIOS seri numaraları, faal uzaktan masaüstü protokolü (RDP) oturumları, çalışan GUI (grafiksel kullanıcı arayüzü) uygulamaları üzere bilgiler yer alıyor. Ziyanlı yazılım, bu bilgileri Web Tabanlı Kurumsal İdare (WBEM) arabirimlerini kullanarak topluyor.

Ayrıca, StilachiRAT, Google Chrome tarayıcısına kurulu olan bir dizi kripto cüzdan eklentisini maksat alıyor. Bu liste, Bitget Wallet, Trust Wallet, MetaMask, TokenPocket, BNB Chain Wallet üzere pek çok tanınan cüzdanı içeriyor. Bu eklentilere dair bilgilerin çalınması, bilhassa kripto para kullanıcıları için önemli bir tehdit oluşturuyor.

RDP Oturumlarını Takip Etme ve Öbür Makus Maksatlı Yetenekler

StilachiRAT, ayrıyeten tarayıcıda saklanan şifreleri ve kripto cüzdan bilgilerini de sistemli aralıklarla topluyor. Bunun yanı sıra, RDP oturumlarını izleyerek ön plandaki pencere bilgilerini yakalıyor ve bu bilgileri uzak bir sunucuya gönderiyor. Ziyanlı yazılımın komut ve denetim (C2) sunucusuyla olan iki istikametli bağlantısı sayesinde, ziyanlı yazılım kullanıcıların sistemlerine müdahale edebiliyor ve komutlar gönderebiliyor.

Zararlı yazılım, 10 farklı komutu destekliyor. Bunlar ortasında, uygulama başlatma, ağ irtibatları kurma, Windows sistemini kapatma üzere süreçler yer alıyor. Ayrıyeten, sistemdeki açık pencereleri tarayarak makul başlık çubuklarına sahip olanları listeleyebiliyor ve Google Chrome şifrelerini çalabiliyor.

Tespit Edilmekten Kaçınma Stratejileri

StilachiRAT, tespit edilmekten kaçınmak için çeşitli anti-forensic yani kanıt karartma teknikleri kullanıyor. Örneğin, sistemdeki olay günlüklerini temizliyor ve tahlil araçlarını yahut sanal ortamları tespit etmek için daima denetimler yapıyor. Bu tıp davranışlar, ziyanlı yazılımın, güvenlik araştırmacılarının tahlil yapmasını engellemeye çalıştığını gösteriyor.

Yeni Tehditler ve Güvenlik Önlemleri

Microsoft’un bu açıklaması, Palo Alto Networks’ün Unit 42 ünitesinin geçtiğimiz yıl tespit ettiği kimi sıra dışı ziyanlı yazılım örnekleri ile de örtüşüyor. Bu örnekler ortasında bir C++/CLI ile geliştirilmiş pasif bir IIS (Internet Information Services) geri kapısı, bir bootkit ve bir Windows implantı yer alıyordu. Bu cins tehditler, siber güvenlik uzmanlarının karşılaştığı yeni tehditleri ve hücum tekniklerini gözler önüne seriyor.

Sonuç ve Uyarılar

StilachiRAT, her geçen gün daha da karmaşık hale gelen ve ziyanlı yazılım dünyasında daha fazla saklılık ve güvenlik açığı arayan saldırganlar için önemli bir tehdit oluşturuyor. Bilhassa kripto para kullanıcıları ve kurumsal sistemlerdeki güvenlik açıkları bu cins ziyanlı yazılımlara karşı korunmak için ek tedbirler almayı zarurî hale getiriyor. Microsoft, kullanıcıları bu cins tehditlere karşı daha dikkatli olmaya ve yeni güvenlik yazılımlarını kullanmaya teşvik ediyor.