Oyun topluluğunda, şüphelenmeyen kullanıcıları tehlikeye atmak için kendini meşru bir Minecraft istemcisi olarak gizleyen, gelişmiş Python tabanlı bir uzaktan erişim truva atı ortaya çıktı.
Çok işlevli bir RAT olarak tanımlanan kötü amaçlı yazılım, komuta ve kontrol altyapısı olarak Telegram Bot API’sinden yararlanarak saldırganların çalınan verileri sızdırmasına ve kurban makinelerle uzaktan etkileşime girmesine olanak tanıyor.
Tehdit, Doğu Avrupa ve Rus oyun toplulukları arasında popüler olan meşru bir Minecraft modifikasyonuyla ilişkili bir isim olan “Nursultan İstemcisi” kılığına girerek, kullanıcıları kötü niyetli yükü çalıştırma konusunda başarılı bir şekilde kandırıyor.
Kötü amaçlı yazılım PyInstaller kullanılarak paketlendi ve sonuçta 68,5 MB’lık alışılmadık derecede büyük bir yürütülebilir dosya ortaya çıktı.
Bu enflasyon ikili bir amaca hizmet ediyor: Python bağımlılıklarına uyum sağlamak ve belirli boyut eşiklerini aşan dosyaları atlayacak şekilde yapılandırılmış güvenlik araçlarından kaçınmak.
Örnek, yürütüldükten sonra Windows sistemlerinde konsol penceresini gizleyerek ve yasal yazılım yüklemesi yanılsamasını sürdürmek için sahte bir yükleme ilerleme çubuğu görüntüleyerek varlığını hemen gizler.
.webp)
Netskope araştırmacıları, SHA256 karma 847ef096af4226f657cdd5c8b9c9e2c924d0dbab24bb9804d4b3afaf2ddf5a61 ile yürütülebilir dosyayı keşfederek tehdidi rutin tehdit avlama faaliyetleri sırasında belirledi.
Analiz, kötü amaçlı yazılımın Windows başlangıç yolunda “NursultanClient” adlı bir kayıt defteri anahtarı oluşturarak kalıcılık sağlamaya çalıştığını ortaya çıkardı. Ancak bu kalıcılık mekanizması, muhtemelen başarısız olmasına neden olacak kritik kusurlar içeriyor.
Kötü amaçlı yazılım, PyInstaller uygulaması yerine ham Python betiği için tasarlandığı için derlenmiş yürütülebilir dosyanın başlatma komutunu hatalı bir şekilde oluşturuyor.
Ayrıca, yürütme sırasında oluşturulan geçici dizin, işlemden çıkıldığında silinir ve böylece kötü amaçlı yazılımın sonraki sistem başlatmalarında çalışması engellenir.
Telegram Tabanlı Komuta Kontrol Altyapısı
Kötü amaçlı yazılımın temel operasyonu Telegram’ı gizli bir komuta ve kontrol kanalı olarak kötüye kullanmaya odaklanıyor.
Komut dosyası, sabit kodlanmış bir Telegram Bot Token’ı (8362039368:AAGj_jyw6oYftV2QQYiYoUslJOmXq6bsAYs) ve izin verilen Telegram kullanıcı kimliklerinin kısıtlı bir listesini (6804277757) içerir ve yalnızca yetkili saldırganın virüslü makinelere komut vermesini sağlar.
Bu tasarım, sabit kodlanmış kullanıcı kimliğinin temel bir lisanslama mekanizması olarak işlev gördüğü Hizmet Olarak Kötü Amaçlı Yazılım dağıtım modelini önermektedir.
Tehdit aktörü, her alıcı için bu tek tanımlayıcıyı kolayca değiştirebilir, yürütülebilir dosyayı yeniden derleyebilir ve yalnızca bireysel alıcıların kontrol edebileceği kişiselleştirilmiş kopyaları dağıtabilir.
Sistem keşif raporlarına yerleştirilen “fifetka tarafından” kötü amaçlı yazılım imzası, bu ticarileştirilmiş yaklaşımı daha da desteklemekte ve tek bir saldırganın kampanyasını temsil etmekten ziyade düşük seviyeli tehdit aktörlerini cezbetmek için tasarlanmış bir operasyona işaret etmektedir.
RAT, kararlı, PTB ve Canary yapıları da dahil olmak üzere birden fazla platformda Discord kimlik doğrulama belirteçlerini hedefleyen kapsamlı bilgi çalma yetenekleri içerir.
Chrome, Edge, Firefox, Opera ve Brave gibi büyük web tarayıcılarının yerel depolama dosyalarını ve kullanıcı veri dizinlerini tarayarak hem LevelDB hem de SQLite veritabanlarından belirteçler çıkarır.
Kötü amaçlı yazılım, kimlik bilgisi hırsızlığının ötesinde, ekran görüntüsü yakalama, web kamerası fotoğrafçılığı ve bilgisayar adlarını, kullanıcı adlarını, işletim sistemi sürümlerini, işlemci özelliklerini, bellek kullanımını ve hem yerel hem de harici IP adreslerini içeren ayrıntılı profilleri toplayan sistem keşif yetenekleri de dahil olmak üzere kapsamlı gözetim özellikleri sağlar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
