MostereRAT: Yeni Bir Phishing Tehdidi
Son zamanlarda, siber güvenlik araştırmacıları, gelişmiş bir phishing kampanyasının detaylarını açıkladı. Bu kampanya, gizli bir bankacılık kötü amaçlı yazılımı olan MostereRAT’i uzaktan erişim trojanı olarak kullanıyor. Fortinet FortiGuard Labs’a göre, bu phishing saldırısı, ele geçirilen sistemler üzerinde tam kontrol sağlamak için birçok ilerici kaçınma tekniği içermektedir.
Phishing Saldırısı ve Teknikleri
MostereRAT, karmaşık bir üs olan Easy Programming Language (EPL) ile geliştirilmiştir. Bu dil, geleneksel Çince, basitleştirilmiş Çince, İngilizce ve Japonca çeşitlerini desteklemektedir. EPL, İngilizceye aşina olmayan kullanıcılar için tasarlanmıştır. Japon kullanıcılarını hedef alan bu e-postalar, iş talepleriyle ilgili cazibeler aracılığıyla alıcıları kötü amaçlı bağlantılara yönlendirmektedir.
Zararlı E-postaların Yapısı
E-postalarda bulunan kötü amaçlı bağlantılar, kullanıcıları enfekte olmuş bir web sitesine yönlendirmekte ve buradan Microsoft Word dosyası şeklindeki booby-trapped belgeyi indirmeye yönlendirmektedir. Bu belge içinde, bir ZIP arşivi barındıran bir yürütülebilir dosya bulunmaktadır. ZIP dosyasındaki yürütücü, MostereRAT’i tetiklemekte ve AnyDesk, TigerVNC ve TightVNC gibi çeşitli araçları kurmaktadır.
Güvenlik Mekanizmalarını Aşma
MostereRAT’in dikkate değer özelliklerinden biri, Windows güvenlik mekanizmalarını devre dışı bırakabilmesi ve belirli güvenlik programlarıyla ilişkilendirilen ağ trafiğini engelleyebilmesidir. Bu teknik, bilinen EDRSilencer aracına benzemektedir ve kötü amaçlı yazılımın tespit edilmesini zorlaştırmaktadır.
TrustedInstaller Olarak Çalışma
MostereRAT’in bir başka dikkat çekici yönü, TrustedInstaller olarak çalışabilmesi ve bunun sonucunda önemli Windows süreçleriyle etkileşimde bulunabilmesidir. Bu yetenek, kötü amaçlı yazılımın sistem dosyalarını değiştirmesine, Windows Kayıt defteri girişlerini düzenlemesine ve kritik dosyaları silmesine olanak tanımaktadır.
Kullanıcı Bilgilerini Toplama
MostereRAT tarafından dağıtılan modüllerden biri, Qianniu – Alibaba’nın Satıcı Aracı ile ilişkili ön plan pencere etkinliğini izlemek, tuş vuruşlarını kaydetmek ve dış bir sunucuya kalp atışı sinyalleri göndermek için yapılandırılmıştır. Kötü amaçlı yazılımın komut seti, kurban sisteminin detaylarını toplamak ve çeşitli kötü amaçlı yükleri çalıştırmak gibi işlevsellikler sunmaktadır.
Gelişmiş Taktikler
Kötü amaçlı yazılımın kullandığı taktikler, tespiti, önlem almayı ve analiz etmeyi önemli ölçüde zorlaştırmaktadır. Fortinet, mevcut güvenlik çözümlerinin güncel tutulmasının yanı sıra, kullanıcıların sosyal mühendislik tehlikeleri hakkında eğitilmesinin önemine vurgu yapmaktadır.
ClickFix Kampanyası
MostereRAT ile ilgili siber güvenlik tehditleri, başka bir kampanyanın ortaya çıkmasıyla örtüşmektedir. Bu kampanya, “ClickFix” tekniklerini kullanarak MetaStealer adında bir bilgi çalma aracı dağıtmaktadır. Saldırı zinciri, sahte bir Cloudflare Turnstile sayfası sunarak başlamakta ve kullanıcıları kötü niyetli bir AnyDesk yükleyicisine yönlendirmektedir.
Kullanıcı Etkileşimi Gerektiren Saldırılar
Bu tür saldırılar, kurbanların “arıza” olarak gördükleri süreçleri kendilerinin düzeltmeye çalışırken bazı düzeyde manuel etkileşim gerektirdiği için etkili olmaktadır. Huntress, bu tür saldırıların güvenlik çözümlerini aşabilecek potansiyele sahip olduğunu belirtmektedir.
CSS Tabanlı Obfuscation Yöntemleri
CloudSEK, ClickFix sosyal mühendislik taktiğinin yenilendiğini ve görünmez istemler kullanarak AI sistemlerini nasıl silahlandırdığını ortaya koymuştur. HTML içeriği içinde yük peyda ettiğinde, modelin çıktılarını kontrol edebilmek için yüksek yoğunlukta tekrarlayan içerikler kullanılmaktadır.
Ransomware Dağıtımı
Bu yaklaşım, e-posta istemcileri, tarayıcı uzantıları ve üretkenlik platformları gibi uygulamalarda yer alan özetleyicileri hedef alır. Kullanıcıların AI tarafından üretilen özetlere duyduğu güveni istismar ederek, kötü niyetli adım adım talimatlar dağıtmaktadır.
Sonuç olarak, siber güvenlik alanında sürekli olarak gelişen tehditler, hem bireysel kullanıcılar hem de kurumsal yapılar için önemli bir risk oluşturmaktadır. Kullanıcıların bu tür tehlikelere karşı bilinçlenmesi ve güvenlik çözümlerinin sürekli olarak güncellenmesi hayati önem taşımaktadır.
