English
Español
Kripto para yatırımcıları piyasada yaşanan düşüşlerle mücadele ederken bir yandan zararlı yazımlara karşı kendini korumaya çalışıyor. Geçmişte birçok yeni keşfedilen zafiyetin büyük kayıplar doğurduğuna şahit olduk. Özellikle Google Chrome kullanıcılarının bu zararlı yazılımla alakalı detayları bilmesi gerekiyor.
StilachiRAT ve Kripto Paralar
Microsoft güvenlik birimi saatler önce yeni bir uyarı yayınladı. Buna göre Kasım 2024’te Microsoft Incident Response araştırmacıları son derece profesyonelce hazırlanmış sofistike teknikler sergileyen StilachiRAT adı verilen truva atını keşfetti.
“StilachiRAT‘ın RAT yeteneklerini içeren WWStartupCtrl64.dll modülünün analizi, tarayıcıda depolanan kimlik bilgileri, dijital cüzdan bilgileri, panoda depolanan veriler ve sistem bilgileri gibi hedef sistemden bilgi çalmak için çeşitli yöntemlerin kullanıldığını ortaya koydu.” – Microsoft
Henüz hangi kaynaktan çıktığı ve tam olarak nasıl yayıldığı bilinmeyen bu virüs için yatırımcıların antivirüs programları da aciz kalabiliyor. Önceki raporlarda FUD ismi verilen şifreleme teknikleriyle zararlı yazılımların kendini gizleyebildiğinden bahsetmiştik.
İşletim sistemi (OS) ayrıntıları, donanım tanımlayıcıları, kamera varlığı, etkin Uzak Masaüstü Protokolü (RDP) oturumları ve çalışan grafik kullanıcı arayüzü (GUI) uygulamaları dahil olmak üzere kapsamlı sistem bilgilerini toplayan bu virüs Google Chrome tarayıcısı için 20 farklı kripto para cüzdanı uzantısının yapılandırma dosyalarını da tarıyor.
Nasıl Anlaşılır?
Microsoft zararlı yazılımın bulaştığı cihazlarda sistem seri numarasından ve saldırganların genel RSA anahtarından türetilen benzersiz bir kimlik oluşturduğunu yazdı. Bu bilgiler kayıt defterinde bir CLSID anahtarı altında saklanır.
Chrome kullanıcıları için özellikle SOFTWAREGoogleChromePreferenceMACsDefaultextensions.settings kayıt defteri anahtarındaki kripto cüzdan uzantılarını tarayarak buradaki bilgileri hedefler. Listede 20 civarı kripto para cüzdanı var ve TronLink, MetaMast gibi popüler uygulamalar taranıyor.
StilachiRAT, olay günlüklerini temizleyerek ve tespitten kaçmak için belirli sistem koşullarını kontrol ederek analiz araçlarından kaçmayı hedefliyor. Ayrıca, Windows API çağrıları çeşitli şekillerde gizlendiği için antivirüs yazılımlarının anlık izlemelerinde de zararlı yazılım tespit edilemeyebiliyor.
Microsoft Defender eğer güncelse bu virüs TrojanSpy:Win64/Stilachi.A ismiyle tespit edilebilir.
Alınabilecek Önlemler
- RAT denilen bu uzaktan kontrol virüsleri güvenilir yazılımlar veya yazılım güncellemeleri süsüyle internette dolaşıma sokulabiliyor. Her zaman uygulamaları resmi internet sitelerinden indirmelisiniz.
- Kullanıcıları, kimlik avı siteleri, dolandırıcılık siteleri ve kötü amaçlı yazılım barındıran siteler dahil olmak üzere hedefliyorlar. Bu yüzden antivirüs yazılımınız anlık olarak tarayıcı faaliyetlerinizi izleyerek size uyarabiliyor olmalı.
- Office 365 için Güvenli Bağlantılar ve Güvenli Ekler özelliğini açın.
- Microsoft Dender’da kurcalamaya karşı korumanın etkinleştirildiğinden emin olun.
- Mümkün olduğunca güvenli cihazlarda kripto cüzdanlarınızı tutun ve keylerinizi txt olarak saklamayın.
StilachiRAT, özellikle kripto para kullanıcılarını hedef alan sofistike bir tehdit olduğundan her zamankinden daha fazla tetikte olmalısınız.
