WebRAT: Yeni Tehditler ve Yayılma Yöntemleri
WebRAT, son zamanlarda GitHub üzerindeki sahte açık istismarlarıyla yayılmaya başlayan bir kötü amaçlı yazılımdır. Çeşitli yazılım ve güvenlik açıklarının kötüye kullanılması, siber suçluların hedeflerine ulaşmalarında kullandıkları en etkili yöntemlerden biridir. GitHub’ın, yazılım geliştiricileri ve güvenlik araştırmacıları için bir kaynak olmasının yanı sıra, kötü niyetli kişiler için de bir fırsat sunduğu gözlemlenmiştir.
WebRAT Nedir?
WebRAT, bu yılın başlarında ortaya çıkan bir arka kapı yazılımıdır. Kullanıcıların Steam, Discord ve Telegram gibi platformlar üzerindeki kimlik bilgilerini çalan, aynı zamanda kripto para cüzdan bilgilerini de etkileyebilen bir yazılımdır. Önceki dönemlerde, WebRAT’ın oyun hileleri veya korsan yazılımlar vasıtasıyla yayıldığı bilinmektedir.
Sahte Açık İstismarları ile Yayılma Süreci
Kaspersky’nin yaptığı araştırmalara göre, Eylül ayından itibaren WebRAT, medya raporlarında yer alan bazı güvenlik açıklarını istismar eden sahte depolar aracılığıyla dağıtılmaya başlanmıştır. Bu açıklar arasında:
- CVE-2025-59295: Windows MSHTML/Internet Explorer bileşenindeki bir yığın tabanlı tampon taşması.
- CVE-2025-10294: WordPress için kritik bir kimlik doğrulama atlaması.
- CVE-2025-59230: Windows’un Uzaktan Erişim Bağlantı Yöneticisi’nde (RasMan) yükseltilmiş yetki açığı.
Bu sahte depolar, kullanıcıları yanıltmak için ayrıntılı açıklamalar ve iddia edilen istismarlar hakkında bilgi içermektedir.
Kötü Amaçlı Yazılımın Yapısı ve Yayılması
WebRAT, özellikle çoğu zaman şifreli ZIP dosyaları içinde dağıtılmaktadır. Bu dosyalar, açık bir dosyanın yerine kullanılmak üzere oluşturulan boş bir dosya, göstermelik bir DLL dosyası, icra sürecinde kullanılan bir toplu dosya ve WebRAT’ı yükleyen ana dosya olan rasmanesc.exe içerir. Araştırmalar, bu dosyanın kullanımının Windows Defender’ı devre dışı bıraktığını ve sabit bir URL’den WebRAT’ı indirip çalıştırdığını ortaya koymaktadır.
Güvenlik Araştırmalarının Kritik Rolü
Kaspersky, bu kötü amaçlı yazılım kampanyasında tespit edilen tüm zararlı GitHub depolarının kaldırıldığını bildirmiştir. Ancak geliştiricilerin ve siber güvenlik meraklılarının dikkatli olması gerektiğini vurgulamaktadırlar. Kötü niyetli aktörler, yeni sahtekarlıkları farklı yayıncı adlarıyla sunabilmektedir.
Kullanıcıların Dikkat Etmesi Gerekenler
Güvenliği sağlamak adına, özellikle potansiyel olarak güvensiz kaynaklardan gelen açıkları test ederken kontrol altında ve izole bir ortamda çalışmak önemlidir. Kullanıcılar, her zaman bilinmeyen kaynaklardan gelen dosyalara karşı dikkatli olmalı ve güvenilirliği sorgulamalıdır.
Sonuç
WebRAT gibi kötü amaçlı yazılımlar, çevrimiçi güvenliğimizi tehdit eden ciddi bir problemdir. GitHub gibi platformların sağladığı kaynakların doğru kullanılmaması, siber suçluların daha fazla tehlike yaratmasına neden olmaktadır. Geliştiricilerin ve kullanıcıların siber güvenlik konusunda bilgi sahibi olmaları, bu tehlikelerin önüne geçilmesi açısından kritik öneme sahiptir.
