Kötü şöhretli bir uzaktan erişim Trojan (sıçan) olan Silverrat’ın tam kaynak kodu, hızlı bir şekilde kaldırılmadan önce GitHub’da “Silverrat-Full-Source Kodu” deposu altında kısa bir süre içinde görünen çevrimiçi sızdırıldı.
HackRead.com tarafından Wayback Makinesi aracılığıyla yakalanan deponun bir anlık görüntüsü, tüm projeyi, özelliklerini, düzenleme talimatlarını ve hatta gösterişli bir pazarlama tarzı kontrol paneli ekran görüntüsünü ortaya koyuyor.
Silverrat nedir?
Silverrat, C#’da geliştirilen ve ilk olarak 2023’ün sonlarında ortaya çıkan bir uzaktan erişim Truva atıdır. Anonim ArapçaSuriye dışında faaliyet gösterdiğine inanıldı. Bu araç, saldırganlara enfekte olmuş Windows sistemleri üzerinde kontrol sağlar ve bir dizi kötü amaçlı özellik sunar.
Silverrat’ı analiz eden araştırmacılar, hizmet olarak kötü amaçlı yazılım (MAAS) olarak sunulduğu yeraltı forumlarında popüler hale geldiğini söylüyorlar. Özellik seti şunları içerir:
- Kripto para birimi cüzdan izleme
- Gizli uygulamalar ve süreçler
- Discord Webhooks aracılığıyla veri açığa çıkması
- Word, Excel, VBScript ve JavaScript dosyaları için yapımcıları kullanıcılar
- Birden fazla yükü paketlemek için antivirüs bypass ve bağlayıcı işlevleri
- Gizli RDP ve VNC oturumları (saldırganların bir sistemi görünmez bir şekilde devralmasına izin verir)
- Tarayıcılardan, uygulamalardan, oyunlardan, banka kartlarından, Wi-Fi ve sistem kimlik bilgilerinden şifre çalma
Kötü amaçlı yazılımların tasarımı ve Arapça bileşenlerinin kullanımı, köklerinin Orta Doğu’da yattığını göstermektedir, ancak küresel olarak mağdurları hedefleyen kampanyalarda gözlenmiştir. Silverrat’ın arkasındaki geliştirici olarak tanımlandı. noradlb1halka açık olarak bilinir MonsterMC.
Kaynak kod sızıntısının detayları
Jantonzz adında bir kullanıcı tarafından gönderilen sızdırılmış GitHub deposu, Silverrat’ın “en son sürümünü” paylaştığını iddia etti. Proje, Visual Studio çözüm dosyaları, oluşturma talimatları ve temel .NET bilgisi olan herkes tarafından kolayca derlenebilecek kod modüllerini içeriyordu.
Depo açıklaması, sıçanın “sadece öğrenme ve deney amaçlı olarak sağlandığını” övün, ancak uzun silahlandırılmış özellikler listesi gerçek dünyadaki ceza uygulamaları hakkında çok az şüphe bırakıyor. Hatta iki gün içinde e -posta ile teslim edilecek olan özelleştirilmiş, tamamen tespit edilemez (FUD) bir versiyon olan bir “özel saplama” vaat etti.
GitHub, muhtemelen raporlara veya kötü amaçlı yazılım içeriğinin otomatik olarak algılanmasına yanıt olarak depoyu indirdi. Bununla birlikte, kamu erişiminin kısa penceresi, anlık görüntünün arşivlenmesi ve güvenlik araştırma çevrelerinde dolaşması için yeterliydi.
Şu andan itibaren, depo GitHub’dan kaldırıldı, ancak arşivlenmiş anlık görüntü (aşağıda ekli) gösterge tablosu görüntüsü, dosyalar oluşturma ve okuma talimatları dahil tüm içeriğini gösteriyor:
Meşruiyet ve sonuçlar
Sızan kötü amaçlı yazılım kodu genellikle “eğitim amaçlı” olma feragatnamesi ile birlikte gelirken, gerçek şu ki, bu sızıntılar siber suçları artırabilir. Silverrat şimdi halka açıkken, programlama becerileri olmadan düşük seviyeli siber suçlular bile kendi kopyalarını derleyebilir, kötü amaçlı yazılımları değiştirebilir veya yeni varyantlar oluşturabilir.
Orijinal geliştiricinin Arapça konuşan siber suç gruplarıyla bağlantıları olduğuna inanıldığı göz önüne alındığında, bu sızıntı kötü amaçlı yazılımların yeni bölgelere ve aktörlere erişimini genişletebilir.
Görünüşe göre ilk kez değil
Silverrat’ı araştırırken, kaynak kodunun kötü şöhretli Rus siber suç forumu XSS’de de satıldığını bulduk. Şubat 2025 yazısında, bir satıcı tam kaynak kodu sadece 100 $ için sunuyordu.
