Yeni Tehdit: Gaslight Malware
Son dönemlerde, daha önce belgelenmemiş, Rust tabanlı bir macOS implantı ve bilgi çalıcısı olan Gaslight adlı kötü amaçlı yazılım keşfedilmiştir. Bu yazılım, siber güvenlik analistlerinin yapay zeka (AI) araçlarını manipüle ederek analizden kaçmasını sağlamayı hedefleyen bir “prompt injection” yükü içeriyor.
Saldırı Nasıl Çalışıyor?
Gaslight, saldırı yöntemlerini gizlemek için tasarlanmış bir dizi sahte sistem hatası mesajı içeren bir mimariye sahiptir. SentinelOne araştırmacısı Phil Stokes’in belirttiği gibi, bu zararlı yazılım, AI destekli analiz araçlarının kendi sürecinden kuşku duymasına neden olmayı amaçlar.
Malware, bir Telegram bot API tabanlı komut ve kontrol (C2) kanalı vasıtasıyla çalışmakta ve operatörün talimatlarını etkileşimli bir kabuk üzerinden vermesine imkan tanımaktadır. Eğer iki bot token’ı aynı anda sorgu gönderirse, bir “Çatışma” yanıtı alınır ve ikinci kopya sonlandırılır.
Etkilenen Sistemler
Gaslight, Rust tabanlı yapısı ile macOS sistemlerini hedef almaktadır. Kullanıcıların zafiyetlerini istismar etmek için aşağıdaki altı ana komutu desteklemektedir:
- help: Komut yardımı görmek için
- id: İmplantı operatöre tanıtmak için
- shell: Shell komutunu yürütmek için
- kill: Bir hedef süreci PID ile sonlandırmak için
- upload: Telegram yolu ile bir dosya dışarı aktarmak için
- stop: İmplantın çalışmasını durdurmak için
Ayrıca, potansiyel olarak yedinci bir komut olan “focus” da tespit edilmiştir; ancak bu komutun işlevi henüz belirlenememiştir. Gaslight, LaunchAgent kullanarak sistemde kalıcılık kazanmaktadır; bunun için .plist dosyasında “com.apple.system.services.activity” etiketini kullanmaktadır.
Bilgi Çalma Mekanizması
Malware, 6.6 KB boyutunda Base64 ile kodlanmış bir Python betiği içerir. Bu betik, Terminal komut geçmişi, kurulu uygulamaların listesi, çalışan süreçlerin anlık görüntüleri, sistem donanım ve yazılım profilleri ve web tarayıcılarından (Chrome, Brave, Firefox, Safari) veri toplamak için kullanılır. Toplanan veriler, daha sonra “temp/collected_data.zip” adlı bir ZIP arşivine sıkıştırılarak Telegram üzerinden yüklenir.
Python çalıcı, 2 KB boyutunda Base64 ile kodlanmış bir bash yükleyicisi aracılığıyla dağıtılır. Bu yükleyici, “astral-sh/python-build-standalone” projesinden bir cpython-3.10.18 yorumlayıcısını indirir. Betiğin emoji ve geniş yorum başlıkları içermesi, büyük bir dil modelinden (LLM) türetilmiş olabileceğini düşündürmektedir.
Koruma Yöntemleri
Gaslight, Telegram bot tokenı, sohbet ID’si (tg_room_id) gibi bilgileri runtime sırasında sağladığı için, analistlerin logları veya çökme hatalarını yakalaması durumunda kendini gizlemektedir. Ayrıca, AI tabanlı tespit sistemlerinden kaçmak için sahte “sistem” mesajları içeren bir yapı eklenmiştir; bunun amacı da güvenlik ajanını analizden vazgeçirmektir.
Sonuç ve Aksiyon
Sistemlerinizi bu tür tehditlere karşı korumak için, aşağıdaki önlemleri almanız önerilmektedir:
- Tüm yazılımlarınızı güncel tutun.
- Güvenlik duvarınızı kontrol edin ve gereksiz portları kapatın.
- Tanımadığınız kaynaklardan gelen mesajları veya dosyaları açmayın.
- Güvenlik çözümlerinizin güncel olduğundan emin olun ve düzenli taramalar yapın.
Siber güvenlik uzmanları ve yazılımcılar olarak, bu tür yeni tehditlere karşı sürekli olarak dikkatli olmalı ve güvenlik önlemlerimizi güncel tutmalıyız.
