Siber güvenlik uzmanları PySilon adında yeni bir Uzaktan Erişim Truva Atı (RAT) tespit etti. Bu Truva Atı, virüslü sistemlerde kalıcılığı sürdürmek için popüler sosyal platform Discord’u kullanıyor.
Gerçek zamanlı iletişim özellikleriyle bilinen Discord, oyun kökenlerinin ötesinde çeşitli toplulukların da merkezi haline geldi. Ancak API yetenekleri onu kötü niyetli faaliyetlerin de hedefi haline getirdi.
Discord botları, sunucu yönetiminden müzik çalmaya kadar belirli sunucu görevlerini gerçekleştiren otomatik programlardır.
ASEC Lab tarafından hazırlanan raporlara göre, bu botlar genellikle Python ve JavaScript gibi programlama dilleri kullanılarak geliştiriliyor ve Discord API aracılığıyla sunucularla etkileşime giriyor.
Kullanıcı deneyimini geliştirirken aynı zamanda kötü amaçlarla da manipüle edilebilirler.
Protecting Your Networks & Endpoints With UnderDefense MDR – Request Free Demo
PySilon Rat Discord’u Kötüye Kullanıyor
PySilon, RAT kötü amaçlı yazılımının Discord botu kullanılarak uygulandığı endişe verici bir durumu temsil ediyor.
Bu kötü amaçlı yazılımın tam kaynak kodunun GitHub’da mevcut olması, yayılma potansiyeli konusunda alarm verilmesine neden oluyor. Telegram gibi platformlardaki topluluklar dağıtımını ve özelleştirilmesini daha da kolaylaştırır.
PySilon oluşturucu, Discord botu oluşturmak için gereken Sunucu Kimliği ve bot belirteci gibi ayrıntıları belirterek kullanıcıların kötü amaçlı yazılımı özelleştirmesine olanak tanır. Bu bilgiler önceden yazılmış Python koduna gömülür ve PyInstaller kullanılarak yürütülebilir bir dosyaya dönüştürülür.
Kötü amaçlı yazılım, kurbanın bilgisayarında çalıştırıldığında saldırganın sunucusunda yeni bir kanal oluşturur. IP adresi ayrıntıları da dahil olmak üzere başlangıç sistem bilgilerini sohbet yoluyla gönderir. Virüs bulaşan her PC, saldırganın onu ayrı ayrı kontrol etmesine olanak tanıyan özel bir kanala sahip olur.
PySilon, yürütmenin ardından kalıcılığı sağlamak için kullanıcı klasöründe kendini çoğaltır. Sistemin RUN kayıt defteri anahtarına eklenir ve başlangıçta yürütmeyi garanti eder. Kötü amaçlı yazılım, çoğaltma için kullanılan klasör adını da özelleştirebilir.
PySilon, sanal ortamları algılamasına ve bunların içinde yürütülmesini engellemesine olanak tanıyan sanal makine önleme (VM) mantığı içerir.
Saldırganlar, oluşturulan kanallar aracılığıyla çeşitli komutları çalıştırarak, aşağıdaki gibi kötü amaçlı faaliyetler gerçekleştirmelerine olanak tanır:
- Bilgi Toplama: “Grab” komutu, Discord belirteçleri, göz atma geçmişi, çerezler ve şifreler dahil olmak üzere kişisel verileri çıkarır.
- Ekran ve Ses Kaydı: Kötü amaçlı yazılım, pyautogui ve ses cihazı gibi Python modüllerini kullanarak ekran ve ses verilerini yakalar.
- Keylogging: Tuş vuruşlarını günlüğe kaydeder ve kullanıcı “Enter” tuşuna bastığında bunları iletir.
- Klasör Şifreleme: PySilon, Fernet algoritmasını kullanarak dosyaları şifreler ve şifre çözme anahtarlarını fidye notu bırakmadan kullanıcı klasörlerinde saklar.
PySilon’un açık kaynak yapısı, tehdit aktörlerinin kodunu görünüşte zararsız botlara entegre etmesini kolaylaştırır. Veri aktarımı meşru bot işlevleri için kullanılan resmi Discord sunucuları üzerinden gerçekleştiğinden, bu tür kötü amaçlı yazılımların tespit edilmesi kullanıcılar için zorlayıcı hale geliyor.
PySilon gibi açık kaynaklı projelerin yükselişi, popüler siber suç platformlarından yararlanma eğiliminin arttığını vurguluyor.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!