PyStoreRAT: Yeni Bir Tehdit
Son günlerde siber güvenlik araştırmacıları, GitHub üzerinde barındırılan Python depolarını kullanarak dağıtılan yeni bir JavaScript tabanlı Uzaktan Erişim Truva Atı (RAT) olan PyStoreRAT hakkında uyarılarda bulunuyor.
Bu kampanya, OSINT araçları veya geliştirme yardımcıları gibi farklı temalarda hazırlanmış depolar aracılığıyla gerçekleştiriliyor. Bu depolar, az miktarda kod içermekte ve bu kodlar, uzaktan bir HTA dosyasını indirmek ve ‘mshta.exe’ aracılığıyla çalıştırmak için kullanılıyor.
Malware’ın İşleyişi
PyStoreRAT, çok modüllü ve çok aşamalı bir yazılım olarak tanımlanıyor. EXE, DLL, PowerShell, MSI, Python, JavaScript ve HTA modüllerini çalıştırabilir. Bunun yanı sıra, Rhadamanthys adında bir bilgi hırsızlığını gerçekleştiren bir ek yükü de içeriyor.
Saldırı zincirleri, GitHub’da yer alan OSINT araçları, DeFi botları ve güvenlik temalı yardımcı yazılımlar olarak maskelenmiş Python veya JavaScript yükleyici stub’ları aracılığıyla dağıtılıyor. Bu araçlar, analistler ve geliştiriciler için cazip hale getirilmiş.
Pazarlama Stratejileri
Kampanyanın ilk belirtileri Haziran 2025’e kadar uzanıyor ve o tarihten itibaren sürekli olarak yeni “depolar” yayımlanmış. Bu araçlar, YouTube ve X gibi sosyal medya platformlarında tanıtılmakta ve kendilerine yapay olarak artırılmış yıldız ve çatal sayıları verilmekte.
Tehdit aktörleri, yeni oluşturulmuş veya uzun süredir kullanılmayan GitHub hesapları kullanarak bu depoları yayımlamakta. Popüler hale geldiklerinde ise zararlı yüklemeleri “bakım” güncellemeleri biçiminde sızdırıyorlar.
PyStoreRAT’ın Tehditleri
Eklenen zararlı yazılım, hedef sistemdeki yöneticilik yetkilerini kontrol eder ve kripto para cüzdanlarına ilişkin dosyaları tarar. Özellikle, Ledger Live, Trezor, Exodus, Atomic, Guarda ve BitBox02 ile ilgili dosyalara odaklanıyor.
Yükleyici stub, yüklü antivirüs yazılımlarının listesini alır ve güvenlik çözümlerini atlatmak için “cmd.exe” aracılığıyla ‘mshta.exe’ dosyasını başlatır.
Persistans Sağlama Yöntemleri
Malware persistans sağlamak amacıyla, NVIDIA uygulama güncellemeleri gibi gizli bir görev kurar. Son aşamada, malware dış bir sunucuya bağlanarak çalıştırılacak komutları alır.
- EXE yüklerini indirme ve yürütme, bunlar arasında Rhadamanthys bulunur.
- ZIP arşivlerini indirme ve çıkarma.
- Rundll32.exe kullanarak kötü amaçlı DLL’leri çalıştırma.
- JavaScript kodlarında dinamik yürütme için eval() kullanma.
- MSI paketlerini indirecek ve kuracak.
Sonuç
Operasyonun arkasında kimin olduğu şu an için bilinmiyor; ancak Rusça dilinde eserler ve kodlama kalıplarının varlığı, doğu Avrupa kökenli bir tehdit aktörüne işaret ediyor.
PyStoreRAT, modüler ve betik tabanlı implantlara geçişin bir örneği olarak tanımlanıyor. Eş zamanlı HTA/JS yürütme yetenekleriyle, geçmişte kullanılan güvenlik çözümlerinin başlangıç aşamalarında tespit etmelerini zorlaştırıyor.
