Yeni uzaktan erişim truva atı (RAT), sadece veri çalmakla ve kurbanlarını tam kapsamlı gözetlemekle kalmıyor, aynı zamanda onlarla dalga geçebilecek özellikler barındırıyor.
Kaspersky Global Research & Analysis Team (GReAT), daha önce belgelenmemiş, oldukça geniş yetenek setine sahip bir RAT’in dağıtıldığı aktif bir zararlı yazılım kampanyasını ortaya çıkardı. Standart uzaktan erişim truva atı işlevlerinin ötesine geçen bu zararlı; stealer (veri hırsızı), keylogger (tuş kaydedici), clipper ve casus yazılım özelliklerini tek bir yapıda birleştiriyor. Siber suçlular tarafından MaaS (malware-as-a-service / hizmet olarak zararlı yazılım) modeliyle üçüncü taraflara sunulan bu araç, YouTube ve Telegram üzerinden tanıtılıyor. Bu durum, daha az teknik bilgiye sahip aktörler de dahil olmak üzere çok daha geniş bir kullanıcı kitlesi tarafından kullanılma riskini artırıyor.
Stealer özellikleri sayesinde zararlı yazılım, kurban hakkında geniş kapsamlı veri toplayabiliyor: sistem bilgilerini derliyor, Steam, Discord ve Telegram hesaplarına ait kimlik bilgilerini ele geçiriyor ve web tarayıcılarından veri çekebiliyor. Ayrıca kripto para kullanıcıları için de ciddi bir tehdit oluşturuyor; tarayıcı tabanlı clipper özelliği ile kripto cüzdan adreslerini değiştirerek işlemleri manipüle edebiliyor.
Veri hırsızlığının ötesinde, CrystalX RAT tam kapsamlı bir gözetim aracı olarak da konumlanıyor. Ekran görüntüsü alma, mikrofon üzerinden ses kaydetme ve hem web kamerasından hem de ekran üzerinden video yakalama gibi yeteneklere sahip.
Zararlının dikkat çeken unsurlarından biri ise geliştiriciler tarafından özellikle öne çıkarılan “eğlenceli” prankware (şaka yazılımı) özellikleri. Bu işlevler sayesinde saldırganlar, kurbanın sistemine doğrudan müdahale edebiliyor: fare imlecini hareket ettirmek, masaüstü arka planını değiştirmek, ekran yönünü döndürmek, masaüstü simgelerini gizlemek, sistemi zorla kapatmak ve hatta gerçek zamanlı açılır mesajlar göndermek mümkün. İlk bakışta zararsız gibi görünen bu özellikler, saldırıya görünürlük ve psikolojik baskı boyutu ekleyerek kurban üzerinde rahatsız edici bir etki yaratıyor.
Kaspersky, saldırıların şu an için Rusya’daki kullanıcıları hedef aldığını bildiriyor. Ancak satış ve dağıtım modeli göz önüne alındığında, zararlının farklı ülkelere yayılma potansiyeli oldukça yüksek.
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Leonid Bezvershenko konuyla ilgili olarak şunları söylüyor:
“Bu denli kapsamlı bir yetenek seti, kurbanın adeta 360 derece ele geçirilmesine ve gizliliğin tamamen ortadan kalkmasına yol açıyor. Hesap erişim bilgilerinin ele geçirilmesinin ötesinde, çalınan veriler şantaj amacıyla da kullanılabilir. İlk bulaşma vektörü henüz net olarak belirlenebilmiş değil, ancak şimdiden onlarca kurbanı etkilediği görülüyor. Telemetri verilerimiz, zararlının yeni versiyonlarının da tespit edildiğini gösteriyor; bu da aktif olarak geliştirilmeye ve sürdürülmeye devam ettiğine işaret ediyor. Önümüzdeki dönemde hem kurban sayısının hem de coğrafi yayılımın önemli ölçüde artmasını bekliyoruz.”
