LodaRAT kötü amaçlı yazılımının yeni bir çeşidi, oturum açma kimlik bilgileri ve tarayıcı çerezleri de dahil olmak üzere hassas bilgileri çalmak için devam eden bir kampanyayla dünya çapındaki Windows kullanıcılarını aktif olarak hedefliyor.
Rapid7’deki siber güvenlik araştırmacıları, 2016’dan beri dolaşımda olan uzaktan erişim truva atının (RAT) bu son versiyonunu ortaya çıkardı.
Güncellenen LodaRAT sürümü, özellikle Microsoft Edge ve Brave gibi popüler web tarayıcılarından çerezleri ve parolaları çıkarma becerisi açısından gelişmiş yetenekler sergiliyor.
Kötü amaçlı yazılım artık veri sızdırma, ek kötü amaçlı yazılım dağıtımı, ekran yakalama ve hatta kurbanın kamerası ve faresi üzerinde kontrol için çok çeşitli işlevlere sahip olduğundan, bu, asıl amacı olan bilgi toplamadan önemli bir evrimi temsil ediyor.
Kimlik avı e-postalarına ve bilinen güvenlik açıklarından yararlanmaya dayanan önceki sürümlerin aksine, yeni LodaRAT örnekleri daha karmaşık yöntemlerle dağıtılıyor. Rapid7’deki araştırmacılar, kötü amaçlı yazılımın iki iyi bilinen kötü amaçlı yazılım dağıtım aracı olan DonutLoader ve CobaltStrike aracılığıyla dağıtıldığını gözlemledi.
Ek olarak, LodaRAT’ın AsyncRAT, Remcos ve Xworm gibi diğer kötü amaçlı yazılım ailelerinin bulaştığı sistemlerde de bulunduğu görüldü, ancak bu enfeksiyonlar arasındaki kesin ilişki belirsizliğini koruyor.
LodaRAT’ın daha önceki kampanyaları belirli ülkeleri veya kuruluşları hedef alırken, mevcut saldırının kapsamı çok daha geniş görünüyor.
.webp)
VirusTotal’a yüklenen örneklerin yaklaşık %30’u Amerika Birleşik Devletleri’nden olmak üzere, dünya genelinde kurbanlar belirlendi. Hedefleme stratejisindeki bu değişiklik, ya tehdit aktörünün hedeflerinde bir değişiklik olduğunu ya da potansiyel olarak birden fazla grubun artık LodaRAT kod tabanını kullandığını gösteriyor.
Free Ultimate Continuous Security Monitoring Guide - Download Here (PDF)
Teknik Analiz
Yürütmenin ardından LodaRAT, virüslü sistemlerde kalıcılık sağlamak için çeşitli teknikler kullanır. Bu yöntemler şunları içerir: –
- Windows kayıt defteri çalıştırma anahtarına girişler ekleme
- Kötü amaçlı yazılımı düzenli olarak yürütmek için zamanlanmış görevler oluşturma
- Kendini Discord, Skype veya Windows Update gibi yasal yazılımlar olarak gizlemek
Kötü amaçlı yazılım, virüslü sistemde ilk keşif gerçekleştirerek işletim sistemi sürümü, kullanıcı ayrıcalıkları, antivirüs durumu ve donanım ayrıntıları gibi bilgileri toplar.
Bu veriler daha sonra komuta ve kontrol (C2) sunucusuna iletilerek saldırganların yaklaşımlarını her kurbana göre uyarlamasına olanak sağlanır.
LodaRAT’ın yetenekleri başlangıcından bu yana önemli ölçüde arttı. En son sürümün temel özellikleri şunları içerir:
- Ek yüklerin indirilmesi ve yürütülmesi
- Uzaktan komut yürütme
- Fare ve klavye kontrolü
- Ekran yakalama ve web kamerası erişimi
- Tarayıcı kimlik bilgileri ve çerez hırsızlığı
- Windows Güvenlik Duvarı manipülasyonu
- Dosya numaralandırma ve sızdırma
- Mikrofon aracılığıyla ses kaydı
- Yerel kullanıcı hesabı oluşturma
LodaRAT’ın devam eden gelişimi ve yaygın dağıtımı, köklü kötü amaçlı yazılım ailelerinin oluşturduğu kalıcı tehdidin altını çiziyor.
Yaklaşık sekiz yıldır dolaşımda olmasına rağmen LodaRAT, siber suçlular için etkili bir araç olmaya devam ediyor ve virüs bulaşmış kuruluşlara ve bireylere ciddi mali ve veri güvenliği zararları verebilme kapasitesine sahip.
LodaRAT enfeksiyonu riskini azaltmak için kullanıcılar ve kuruluşlar şunları yapmalıdır:
- Tüm yazılım ve işletim sistemlerini güncel tutun
- Güçlü e-posta filtreleme ve kimlik avına karşı önlemler uygulayın
- Saygın antivirüs ve uç nokta algılama çözümlerini kullanın
- Çalışanları şüpheli ekleri veya bağlantıları açmanın riskleri konusunda eğitin
- Önemli verileri düzenli olarak yedekleyin ve yedekleri çevrimdışı olarak saklayın
- Olağandışı etkinlikler veya yetkisiz erişim girişimleri için sistemleri izleyin
LodaRAT gelişmeye ve yayılmaya devam ederken, dikkatli olunması ve güçlü siber güvenlik uygulamalarının uygulanması, bu kalıcı tehdide karşı savunmada hayati önem taşıyor.
Analyze Unlimited Phishing & Malware with ANY.RUN For Free - 14 Days Free Trial.