Siber suçlular sürekli olarak para çalmanın yeni yollarını arıyor ve başta Bitcoin olmak üzere kripto para dünyası büyük bir hedef haline geldi. Son zamanlarda, DarkComet RAT olarak bilinen yeni bir eski bilgisayar casus yazılımının, tam olarak meşru bir Bitcoin cüzdanı veya ticaret programına benzeyen bir dosyanın içinde akıllıca gizlenmiş olduğu bulundu.
Kötü amaçlı yazılım, Point Wild’ın Lat61 Tehdit İstihbarat Ekibi tarafından keşfedildi ve analiz edildi. Bu özel yazılım, bir bilgisayar korsanının kurbanın bilgisayarının tam ve gizli kontrolünü ele geçirmesine olanak tanıyan bir Uzaktan Erişim Truva Atı’dır (RAT). Yaptığınız her tuş vuruşunu kaydetmekten (keylogging), dosyaları çalmaya, web kameranızdan sizi izlemeye ve hatta masaüstünüzü uzaktan kontrol etmeye kadar çeşitli özellikler sunan oldukça yetenekli bir araçtır.
Gizli ve Tehlikeli
İlk olarak 2008 yılında geliştirilen ancak daha sonra yaratıcısı tarafından durdurulan DarkComet RAT, hâlâ suçluların kullanımına açık. Casus yazılımdan WikiLeaks’in Vault 7 veri sızıntısında da bahsedildi; bu sızıntı, Amerikan CIA’sının ve Başkan Beşar Esad yönetimindeki Suriye hükümetinin DarkComet’i kendi vatandaşlarının cihazlarını hacklemek için kullandığını ortaya çıkardı.
Analiz edilen en son örnek, sıkıştırılmış bir RAR dosyası içinde teslim edildi; bu, saldırganların güvenlik filtrelerinden kaçmak ve kullanıcıları dosyayı kendileri açmaya teşvik etmek için kullandıkları yaygın bir hiledir. Çıkartmanın ardından dosyanın “adlı bir uygulama” olduğu ortaya çıktı.94k BTC wallet.exe”.
Daha fazla araştırma önemli bir ayrıntıyı ortaya çıkardı: dosya UPX adı verilen bir teknik kullanılarak “paketlendi”. Bu teknik, kötü amaçlı yazılımın gizli kalmasına ve boyutunun çok daha küçük kalmasına yardımcı olarak basit güvenlik araçlarının onu çalıştırmadan önce tespit etmesini zorlaştırır. Bildiğimiz gibi, kötü amaçlı kodu bu şekilde gizlemek bilgisayar savunması açısından büyük bir zorluktur.
Saldırganların Hedefi
Kurban dosyayı çalıştırması için kandırıldığında DarkComet RAT hemen saldırıya başlıyor. Kendisini gizli bir sistem klasörüne kopyalar ve bilgisayar her açıldığında yüklenmesini sağlamak için bir otomatik başlatma girişi oluşturarak başarılı bir şekilde kalıcılık sağlar.
Kötü amaçlı yazılım daha sonra belirli bir uzak konuma bağlanmaya çalışır (kvejo991.ddns.net üzerinde port 1604) saldırganla iletişim kurmak ve komutları almak için. DarkComet’in temel amacının, kurbanın tüm tuş vuruşlarını kaydettiği ve bunları dclogs adı verilen yerel bir klasöre kaydettiği keylogging aktivitesinde açıkça görüldüğünü belirtmekte fayda var. Bu çok büyük bir risktir, çünkü bu günlükler kolayca şifreleri, banka bilgilerini veya en önemlisi Bitcoin cüzdanlarına erişim için gereken kimlik bilgilerini içerebilir ve doğrudan mali kayıplara yol açabilir.
Bu araştırma Hackread.com ile paylaşıldı. Eski kötü amaçlı yazılımların modern yemlerle nasıl yeniden tasarlandığını açıkça gösteriyor ve tüm kripto para birimi kullanıcılarının cüzdanları ve ticaret araçlarını yalnızca doğrulanmış ve güvenilir kaynaklardan indirmesi ihtiyacını vurguluyor.
Bulgular, dijital para birimiyle ilgilenen herkes için kritik bir uyarı sunuyor. Point Wild CTO’su ve Lat61 Tehdit İstihbarat Ekibi Başkanı Dr. Zulfikar Ramzan’ın açıkladığı gibi: “Eski kötü amaçlı yazılımlar asla gerçekten ölmez; yalnızca yeniden paketlenir. DarkComet’in sahte bir Bitcoin aracına dönüşü, siber suçluların modern heyecandan yararlanmak için klasik RAT’ları nasıl geri dönüştürdüğünü gösteriyor.”