CrystalRAT adı verilen yeni bir kötü amaçlı yazılım, uzaktan erişim, veri hırsızlığı, tuş kaydı ve pano sabotajı özellikleri sunarak Telegram’da tanıtılmaktadır. Kötü amaçlı yazılım, Şubat ayında kademeli bir abonelik modeli ile ortaya çıktı ve YouTube’da yetkili bir pazarlama kanalı aracılığıyla yetenekleri sergilendi.
Saldırı Nasıl Çalışıyor?
Kaspersky araştırmacıları, bugün yaptıkları bir raporda, bu kötü amaçlı yazılımın WebRAT (Salat Stealer) ile güçlü benzerlikler taşıdığını belirtmektedir. İki yazılım da aynı kontrol paneli tasarımına, Go tabanlı koda ve benzer bir bot tabanlı satış sistemine sahiptir.
CrystalX, kullanıcı deneyimini olumsuz etkileyen bir dizi şaka amaçlı özelliği de içermektedir. Ancak “eğlenceli” özelliklerinin yanı sıra, veri hırsızlığı yetenekleri de oldukça geniştir.
Etkilenen Sistemler
CrystalX RAT, kullanıcı dostu bir kontrol paneli ve özelleştirme seçenekleri sunan otomatik bir yapım aracı ile birlikte gelir. Bu özellikler şunlardır:
- Coğrafi engelleme
- Yürütülebilir dosya özelleştirmesi
- Analiz karşıtı özellikler (anti-debugging, sanal makine tespiti, proxy tespiti vb.)
Oluşturulan yükler, korunmak amacıyla zlib ile sıkıştırılmış ve ChaCha20 simetrik akış şifrelemesi ile şifrelenmiştir. Kötü amaçlı yazılım, bağlantı kurmak için WebSocket kullanarak komut ve kontrol (C2) sunucusuna bağlanmakta ve ev sahibi hakkında bilgi göndermektedir.
CrystalX’in bilgi hırsızlığı bileşeni, geçici olarak devre dışı bırakılmış olsa da Chromium tabanlı tarayıcılara yönelik hedef alımlarda kullanılmaktadır. Ayrıca, bu bileşen masaüstü uygulamalarından Steam, Discord ve Telegram gibi verilere erişim sağlamaktadır.
Şaka Özellikleri ve Diğer Davranışlar
CrystalX’in dikkat çekici özelliklerinden biri, kullanıcılar üzerinde çeşitli şaka etkisi yaratabilmesidir. Kaspersky’ye göre, enfekte cihazlarda aşağıdaki işlemleri gerçekleştirebilmektedir:
- masaüstü duvar kağıdını değiştirmek
- ekran yönünü çeşitli açılara değiştirmek
- sistemi kapatma işlemi yapmak
- fare butonlarını yeniden haritalandırmak
- giriş cihazlarını (klavye/fare/monitor) devre dışı bırakmak
- sahte bildirimler göstermek
- ekrandaki imleç konumunu değiştirmek
- çeşitli bileşenleri (masaüstü simgeleri, görev çubuğu vb.) gizlemek
- kurban ile saldırgan arasında bir sohbet penceresi sağlamak
Bu işlevler, saldırganların kazanç potansiyelini artırmasa da, ürünü dikkat çekici hale getirir ve düşük yetenekli tehdit aktörlerinin abone olmasını sağlayabilir. Özellikle, bu şaka özellikleri, veri hırsızlığı modüllerinin arka planda çalışırken kurbanları manipüle etme ya da dikkatlerini dağıtma amaçlı kullanılabilir.
Çözüm ve Korunma
Kötü amaçlı yazılım enfeksiyonlarından korunmak için, kullanıcıların çevrimiçi içeriklerle etkileşimde bulunurken dikkatli olmaları ve güvenilir veya resmi olmayan kaynaktan yazılım veya medya indirmekten kaçınmaları önerilmektedir.
Sonuç olarak: Kullanıcılar, sistemlerinin güvenliğini sağlamak amacıyla en son güncellemeleri yapmalı ve güvensiz bağlantıları kapatmalıdır.
