PureRAT: Yeni Bir Tehdit
Son yıllarda, siber güvenlik alanında birçok yeni tehdit ortaya çıktı. Bu tehditlerden biri olan PureRAT, Rus organizasyonlara yönelik gerçekleştirilen bir phishing kampanyasının parçası olarak dikkat çekiyor. Kaspersky adlı siber güvenlik firması, bu kampanyanın Mart 2023’te başladığını ve 2025’in ilk üç ayında, 2024’ün aynı dönemine göre saldırı sayısının dört katına çıktığını bildirdi. Bu durum, siber tehditlerin nasıl hızla evrildiğini ve hedef aldığı grupların çeşitliliğini göstermektedir.
Saldırı Zinciri ve Yöntemler
PureRAT saldırıları, genellikle kötü niyetli bir e-posta ile başlıyor. Bu e-postalar, kullanıcıları RAR dosyası ekleri veya Microsoft Word ve PDF belgeleri gibi görünen bağlantılara yönlendiriyor. E-posta içeriklerinde "doc054[redacted].pdf.rar" gibi çift uzantılar kullanılarak, kullanıcıların dikkatini çekmeye çalışılıyor. Kullanıcı, bu RAR dosyasını açtığında içinde bir çalıştırılabilir dosya bulunuyor. Bu dosya çalıştırıldığında, kendisini kullanıcının bilgisayarındaki "%AppData%" konumuna "task.exe" adıyla kopyalıyor ve "Task.vbs" adında bir Visual Basic Script dosyası oluşturuyor.
Malware’ın Çalışma Prensibi
Çalıştırılabilir dosya, "ckcfb.exe" adında başka bir dosyayı açıyor ve InstallUtil.exe sistem aracını çalıştırarak, şifrelenmiş modülü buna enjekte ediyor. "Ckcfb.exe", bir DLL dosyası olan "Spydgozoi.dll" dosyasını çıkarıyor ve burada PureRAT malware’inin ana yükü bulunuyor. Bu noktada, PureRAT, bir Command-and-Control (C2) sunucusuna SSL bağlantıları kurarak bilgi göndermeye başlıyor. Gönderilen bilgiler arasında yüklü antivirüs ürünleri, bilgisayar adı ve sistemin açılış süresine dair detaylar yer alıyor.
Plugin Modülleri ve Fonksiyonları
C2 sunucusu, çeşitli kötü niyetli eylemleri gerçekleştirmek için yardımcı modüller gönderiyor. Bu modüller arasında:
PluginPcOption: Kendini silme, çalıştırılabilir dosyayı yeniden başlatma ve bilgisayarı kapatma veya yeniden başlatma gibi komutları çalıştırabiliyor.
PluginWindowNotify: Aktif pencerelerin adını kontrol ederek, parola gibi hassas bilgileri takip edebiliyor. Bu bilgiler doğrultusunda uygunsuz finansal işlemler gerçekleştirebiliyor.
- PluginClipper: Kripto para cüzdan adreslerini sistem panosundaki adreslerle değiştirerek, kötü niyetli bir cüzdanın adresini yerine geçirebiliyor.
Saldırının Sonuçları
Kaspersky‘nin raporuna göre, PureRAT trojanı, hijack edilen sistemlerin dosya sistemine, kayıt defterine, işlemlere, kamera ve mikrofonlara erişim sağlıyor. Aynı zamanda, kötü niyetli yazılımlar yükleyerek, bilgisayarın uzaktan kontrolünü mümkün kılıyor. "ckcfb.exe" dosyası, aynı anda "StilKrip.exe" adlı ikinci bir ikili dosyayı da çıkarıyor. Bu dosya, "PureCrypter" adlı ticari bir downloader olarak biliniyor ve çeşitli zararlı yazılımların dağıtımında kullanılıyor.
Veri Çalma ve İzleme
StilKrip.exe, "Bghwwhmlr.wav" dosyasını indirirken, burada belirli bir saldırı dizilimi izleniyor. Bu, "InstallUtil.exe" aracılığıyla başka bir executable dosyayı açıyor ve sonunda "Ttcxxewxtly.exe" dosyasını çalıştırıyor. Özet olarak, bu üst düzey zararlı yazılım "PureLogs" adlı bir bilgi çalma aracını devreye sokuyor. PureLogs, web tarayıcılarından, e-posta istemcilerinden, VPN hizmetlerinden, mesajlaşma uygulamalarından ve daha birçok programdan bilgiler toplayabiliyor.
Saldırının Genel Değerlendirilmesi
PureRAT ve PureLogs gibi zararlı yazılımlar, siber güvenlik açısından ciddi bir sorun teşkil ediyor. Uygulama ve sistemlerin korunması gereken birçok alan var. Kaspersky’nin vurguladığı gibi, saldırılar çoğunlukla kötü niyetli ekli dosyalar veya bağlantılar içeren e-postalar üzerinden gerçekleştiriliyor. Bu nedenle, kullanıcıların dikkatli olması ve e-posta eklerine karşı temkinli davranması büyük önem taşıyor. Sadece bireyler değil, aynı zamanda şirketlerin de siber güvenlik alanında proaktif önlemler alması gerekiyor.
Sonuç olarak, PureRAT saldırıları, siber suçluların ne kadar sofistike hale geldiğini ve teknolojinin sağladığı fırsatları kötüye biçimde nasıl kullandıklarını gösteriyor. Kullanıcıların ve organizasyonların bu tür tehditlerin bilincinde olması, siber güvenlik tehditlerine karşı en etkili savunmayı oluşturabilir.
