Kaspersky’den Uyarı: Skype Üzerinden Finans Hedefli Yeni Truva Atı GodRAT!
Skype kullanıcıları dikkat! Kaspersky, finans kuruluşlarını hedef alan yeni bir Truva Atı olan GodRAT’ı tespit etti. Peki, bu kötü amaçlı yazılım nasıl yayılıyor ve nelere dikkat etmeliyiz? İşte detaylar…
Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), finans kurumlarını hedef alan GodRAT adlı yeni bir Uzaktan Erişim Truva atını ortaya çıkardı. Bu Truva atının yayılma yöntemi ise oldukça ilginç.
Finansal Belgeler Kılığına Giren Kötü Amaçlı Yazılım
GodRAT, finansal belgeler gibi görünen kötü amaçlı ekran koruyucu dosyaları aracılığıyla dağıtılıyor. Mart 2025’e kadar Skype üzerinden yayılan bu tehdit, daha sonra farklı kanallara da sıçramış durumda. Özellikle Birleşik Arap Emirlikleri, Hong Kong, Ürdün ve Lübnan’daki KOBİ’ler bu kampanyanın hedefi olmuş.
GodRAT Nasıl Gizleniyor?
Saldırganlar, tespit edilmekten kaçınmak için oldukça karmaşık yöntemler kullanıyor. Finansal verileri gösteren görüntü dosyalarına kabuk kodu yerleştirerek steganografi tekniğiyle kötü amaçlı yazılımı gizliyorlar. Bu kabuk kodu, GodRAT kötü amaçlı yazılımını bir Komuta ve Kontrol (C2) sunucusundan indiriyor.
Hangi Bilgiler Ele Geçiriliyor?
RAT, işletim sistemi ayrıntıları, yerel ana bilgisayar adı, kötü amaçlı yazılım işlem adı ve işlem kimliği gibi birçok kritik bilgiyi topluyor. Ayrıca, yüklü antivirüs yazılımı ve yakalama sürücüsünün varlığı da saldırganların radarına giriyor.
Ek Özellikler ve Hedeflenen Tarayıcılar
GodRAT, eklentileri destekliyor. Yüklendikten sonra saldırganlar, kurbanların sistemlerini keşfetmek için FileManager eklentisini kullanıyor ve kimlik bilgilerini çalmak için Chrome ve Microsoft Edge’i hedef alan şifre hırsızlarını dağıtıyorlar. Uzun süreli erişimi sürdürmek için ise AsyncRAT’ı ikincil bir implant olarak kullanıyorlar.
Kaspersky’den Güvenlik Önerileri
Kaspersky Küresel Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Saurabh Sharma, bu konuda önemli uyarılarda bulunuyor: “GodRAT, Kaspersky tarafından 2023 yılında rapor edilen ve muhtemelen Winnti APT ile bağlantılı olan AwesomePuppet’ın bir evrimi gibi görünüyor. Neredeyse yirmi yıllık olmasına rağmen Gh0st RAT gibi eski implant kod tabanları tehdit aktörleri tarafından aktif olarak kullanılmaya devam ediyor.”
Peki, güvenliğinizi nasıl sağlayabilirsiniz? Kaspersky’nin önerileri şöyle:
- İşletim sisteminizi, tarayıcınızı ve antivirüsünüzü düzenli olarak güncelleyin.
- Şirketinizi bu tür tehditlere karşı korumak için Kaspersky Next ürün serisindeki çözümleri kullanın.
- Windows ayarlarında “Dosya uzantılarını göster” seçeneğini etkinleştirin.
- “Exe”, “vbs” ve “scr” gibi dosya uzantılarından uzak durma konusunda dikkatli olun.
