Cybereye adlı yeni keşfedilen uzaktan erişim Trojan (sıçan), siber güvenlik topluluğunda sofistike yetenekleri ve popüler mesajlaşma platformu olan Telegram’a komut ve kontrol (C2) altyapısı olarak dalgalar yapıyor.
İlk olarak Mayıs 2025’te vahşi doğada tespit edilen Cybereye, telgraf dahil çeşitli isimler altında dağıtılır ve kullanım kolaylığı ve güçlü gözetim özellikleri nedeniyle siber suçlular arasında hızla çekiş kazanır.
Saldırganların kendi sunucularını kurmasını ve sürdürmesini gerektiren geleneksel kötü amaçlı yazılımların aksine, CybereY, veri vermek, verileri dışarı atmak ve komut almak için Telegram’ın Bot API’sını kullanır.
.png
)
Acemi bilgisayar korsanları için tak ve oynatma tehdidi
Bu sadece daha az teknik tehdit aktörleri için giriş engelini azaltmakla kalmaz, aynı zamanda kötü amaçlı yazılımların, yaygın olarak güvenilir bir hizmette meşru şifreli trafikle harmanlayarak tespitten kaçmasına yardımcı olur.
Cybereye, bir inşaatçı GUI aracılığıyla dağıtılır ve saldırganların Keylogger, dosya kapma, pano korsanları ve kalıcılık mekanizmaları gibi özelliklerle yükleri özelleştirmesine izin verir.
İnşaatçı çerçevesi, minimal teknik uzmanlığa sahip olanların bile son derece etkili, hedefli saldırılar yaratabileceği anlamına gelir.
Kötü amaçlı yazılım, enfekte sistemlerde gizli ve esnek kalacak şekilde tasarlanmıştır. Yürütme üzerine Cybereye, sanal alan ortamlarının, sanal makinelerin ve hata ayıklama araçlarının tespit edilmesi de dahil olmak üzere çeşitli anti-analiz kontrolleri gerçekleştirir.
Bu tür koşullar tespit edilirse, kötü amaçlı yazılım, incelemeyi önlemek için kendi kendine belirlenir.
Kalıcılığı sağlamak için Cybereye, kendisini genellikle “Chrome Update” gibi meşru bir süreç olarak maskelenen gizli planlanmış bir görev olarak yükler ve kendisini kullanıcının sistemi içindeki gizlenmiş dizinlere kopyalar.
Kayıt defteri anahtarlarını düzenleyerek ve PowerShell komutlarını yürüterek, gerçek zamanlı izleme ve kurcalama korumasını kapatarak Windows Defender korumalarını agresif bir şekilde devre dışı bırakır.
Kapsamlı Veri Hırsızlık Modülleri
Gömüldükten sonra, Cybereye çok çeşitli hassas bilgileri çalmak için birden fazla iş parçacığı başlatır:
- Tarayıcı kimlik bilgileri, çerez ve kredi kartı verileri: Gelişmiş teknikler kullanılarak krom bazlı tarayıcılardan çıkarılmış ve şifre çözülmüştür.
- Mesajlaşma ve oyun uygulamalarından oturum verileri: Telegram, anlaşmazlık ve buhar dahil, saldırganların hesapları kaçırmasına veya iki faktörlü kimlik doğrulamasını atlamasına izin verir.
- FTP kimlik bilgileri: FileZilla gibi uygulamalardan hasat edilir.
- Pano İzleme: Özellikle cüzdan adreslerini saldırgan kontrollü olanlarla gerçek zamanlı olarak değiştirerek kripto para işlemlerini ele geçirmek için tasarlanmıştır.
- Masaüstü dosya hırsızlığı: Saldırgan belirtilen kriterleri eşleştiren belgeleri, resimleri ve elektronik tabloları tarar ve yükler.
Çalınan tüm veriler sıkıştırılır, şifrelenir ve doğrudan saldırganın telgraf botuna gönderilir ve tespit ve yanıt çabalarını daha da karmaşıklaştırır.
Cybereye Kodu ve İnşaatçısı GitHub’da halka açıktır, destek ve güncellemeler Rusya’daki telgraf kanalları aracılığıyla koordine edilir.
Geliştirilmiş özelliklere sahip birinci sınıf bir versiyonun mevcut veya geliştirme, bu tehdidin sürekli evrimini ve çoğalmasını işaret ettiğini gösteren göstergeler vardır.
Hafifletme
Güvenlik uzmanları, Cybereye’nin emtia kötü amaçlı yazılım araçlarının ve kamu iletişim altyapısının yakınsamasını örneklediği ve hem tüketiciler hem de işletmeler için kalıcı bir tehdit haline getirdiği konusunda uyarıyor.
Önerilen savunmalar, katı uç nokta politikası uygulama, davranışsal analiz ve olağandışı giden trafik ve şüpheli planlanan görevler için proaktif izleme içerir.
Cybereye gelişmeye devam ettikçe, kuruluşların bu yeni telgrafla çalışan kötü amaçlı yazılım türüne karşı koymak için uyanık kalmaları ve güvenlik protokollerini güncellemeleri isteniyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin