Qualys, Haziran 2022’de Discord’un içerik dağıtım ağının, yazılımın sahte bir kırık sürümünü barındırarak ticari bir kullanıma hazır bilgi hırsızını paylaştığının tespit edildiğini bildirdi.
Bu süre zarfında araştırmacılar, geliştikçe yeteneklerini daha iyi anlamak için benzer tehditleri izliyorlar.
BitRAT, yeraltı siber suç web pazarlarında ve forumlarında, Şubat 2021’den beri nispeten yeni ve kötü şöhretli bir uzaktan erişim truva atı (RAT) olarak pazarlanmaktadır.
BitRAT İşlevleri
Aşağıda, BitRAT truva atının tüm temel işlevlerinden bahsetmiştik: –
- Veri hırsızlığı
- Yüklerin baypaslarla yürütülmesi.
- DDoS
- Keylogging
- Web kamerası ve mikrofon kaydı
- kimlik hırsızlığı
- Monero madenciliği
- İşlem, dosya, yazılım vb. için çalışan görevler.
Bu niteliklerin bir kombinasyonu ve sadece 20 $ gibi nispeten düşük maliyeti, BitRAT’ı sistemler için çok tehlikeli ve yaygın bir tehdit haline getiriyor.
Teknik Analiz Kötü Amaçlı Yazılım
Birden fazla BitRAT tuzağına ilişkin yakın tarihli bir soruşturma sırasında uzmanlar, bir rakibin bir Kolombiya kooperatif bankasının altyapısını ele geçirdiğini tespit edebildi.
Ayrıca yemlerin meşru görünmesi için bankanın kendisinden elde edilen hassas bilgiler içerirler. Saldırganın bu şekilde müşteri verilerine erişme olasılığı vardır.
Altyapıyla ilgili daha fazla araştırma, SQLMap aracının olası SQLi hatalarını bulmak amacıyla kullanıldığını gösteren günlük dosyalarının yanı sıra bu aracın kullanımına işaret eden gerçek veritabanı dökümü dosyalarını ortaya çıkardı.
Sızdırılan toplam kayıt sayısı 4.18.777’dir ve hassas veriler aşağıda belirttiğimiz gibi bilgileri içerir:-
- Cedula numaraları (Kolomb ulusal kimliği)
- E-mail adresleri
- Telefon numaraları
- müşteri adları
- Ödeme kayıtları
- Aylık maaş
- Adres
Excel dosyasında, bir inf yükünü bırakmak ve bıraktıktan sonra yürütmek için tasarlanmış açıkça gizlenmiş makrolar bulunur. .inf yükünü bölümlere ayırmak için makroda yüzlerce öğeden oluşan bir dizi kullanılır.
Makro çalıştırıldıktan sonra, yük geçici olarak depolanacak ve yükü yürütmek için advpack.dll kullanılacaktır.
BitRAT için son yük, bir dizi hata ayıklama önleme tekniği kullanılarak bu dll tarafından indirilir ve yürütülür. BitRAT gömülü yüklerini GitHub’dan indirmek için, bunları %temp% adlı bir dizine indirmek için WinHTTP kitaplığını kullanır.
Yükü %temp% içinde başlatmanın yanı sıra dll, çıkmak için WinExec’i de kullanır. Kasım ayı ortasında, yalnızca depo içinde birden çok yükü barındırmak amacıyla bir GitHub deposu oluşturuldu.
Son yıllarda, ticari olarak temin edilebilen hazır RAT’lerin metodolojileri, nasıl yayıldıkları ve hedeflerini nasıl etkiledikleri açısından önemli ölçüde gelişti.
Bugün bilgisayar korsanları tarafından yüklerini barındırmak için bir dizi meşru altyapı kullanılıyor. Kısacası, savunucuların buna aktif bir şekilde bakmaları gerekiyor.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin