Stealit: Yeni Bir Tehdit
Son dönemde siber güvenlik alanında dikkat çeken bir konu, Stealit adlı zararlı yazılım kampanyasıdır. Bu kampanya, Node.js’in Single Executable Application (SEA) özelliğini kullanarak dağıtım yapmaktadır. Fortinet FortiGuard Labs tarafından yapılan açıklamalara göre, bu durum, özellikle oyun ve VPN uygulamaları için sahte yükleyicilerin kullanıldığı bir ortamda gerçekleşmektedir. Bu sahte yükleyiciler, kullanıcıları tuzağa düşürmek amacıyla dosya paylaşım siteleri olan Mediafire ve Discord üzerinden yayımlanmaktadır.
Node.js ve SEA Özelliği
SEA, Node.js uygulamalarının, Node.js yüklü olmayan sistemlerde bile bağımsız çalıştırılabilecek şekilde paketlenmesine olanak tanır. Güvenlik araştırmacıları Eduardo Altares ve Joie Salvio, bu yöntemin zararlı yazılımlar için etkili olduğunu ve ek bağımlılıklara ihtiyaç duymadan çalıştırılabildiğini belirtmektedir. Bu durum, siber saldırganların Node.js tabanlı zararlı yazılımları yaymasını kolaylaştırmaktadır.
Tehdit Aktörlerinin Taktikleri
Stealit kampanyasının arkasındaki tehdit aktörleri, kendilerini “profesyonel veri çıkarma çözümleri” sunan bir platform olarak tanıtmaktadır. Bu platformda, uzaktan erişim trojanı (RAT) içeren çeşitli abonelik planları sunulmaktadır. Kullanıcılar, Windows ve Android işletim sistemini hedef alan bu RAT’ler için farklı fiyat seçenekleriyle karşılaşmaktadır. Windows için haftalık abonelik 29,99 dolardan başlarken, ömür boyu lisans 499,99 dolara kadar çıkmaktadır. Android RAT’leri ise 99,99 dolardan 1,999,99 dolara kadar farklı fiyatlarla sunulmaktadır.
Malware Yapısı ve İşleyişi
Zararlı yazılımın yükleyicileri, temel bileşenlerin bir komut ve kontrol (C2) sunucusundan alınarak kullanılmasını sağlayacak şekilde tasarlanmıştır. Ancak, bu sürecin öncesinde çeşitli anti-analiz kontrolleri yaparak sanal veya test ortamında çalışmadığından emin olmaktadırlar. Bu aşamada, %temp%cache.json dosyasına 12 karakterli bir Base64 kodlu kimlik doğrulama anahtarı yazılmaktadır. Bu anahtar, C2 sunucusuna bağlanmak ve abonelerin gösterge paneline giriş yapmasını sağlamak amacıyla kullanılmaktadır.
Microsoft Defender ve Ekstra Özellikler
Stealit, Microsoft Defender Antivirus’te bazı hariç tutmalar yapılandırarak indirilmiş bileşenler içeren klasörlerin tespit edilmemesini sağlamaktadır. Üç ana çalıştırılabilir dosya bulunmaktadır:
save_data.exe: Sadece yönetici ayrıcalıklarıyla çalıştığında indirilir ve Chromium tabanlı tarayıcılardan bilgi toplamak için cache.exe adlı bir aracı indirir.
stats_db.exe: Telegram, WhatsApp gibi mesajlaşma uygulamalarından, kripto para cüzdanlarından ve oyun uygulamalarından (Steam, Minecraft, vb.) bilgi toplamak için kullanılmaktadır.
game_cache.exe: Sistem yeniden başlatıldığında, kendi kendine çalışması için Visual Basic betiği oluşturarak C2 sunucusuyla bağlantı kurar. Bu sayede kurbanın ekranını gerçek zamanlı olarak izleyebilir, komutlar iletebilir ve dosya indirme/yükleme işlemleri yapabilir.
Sonuç Olarak
Stealit kampanyası, siber suçlular tarafından yürütülen yeni ve etkili bir saldırı biçimi olarak dikkat çekmektedir. Node.js SEA, bu tür kampanyaların yayılmasında önemli bir rol oynamaktadır ve tehdit aktörleri bu yeniliği kullanarak güvenlik uzmanlarını atlatma çabası içindedir. Kullanıcıların bu tür zararlı yazılımlara karşı dikkatli olmaları ve yalnızca güvenilir kaynaklardan yazılımları indirmeleri, olası saldırılara karşı korunma açısından büyük önem taşımaktadır.
