Cyfirma’dan siber güvenlik araştırmacıları, Windows cihazlarını hedefleyen bir uzaktan yönetim aracı olan Neptune Rat’ın yeni bir versiyonunu açıkladı. GitHub, Telegram ve YouTube gibi platformlarda “en gelişmiş sıçan” olduğu iddialarıyla pazarlanan kötü amaçlı yazılım, yeni gelenleri hem siber suçlara ve hazır bir araç arayan tecrübeli hackerlara çekiyor.
Neptün Rat nedir?
Neptune Rat, Visual Basic .NET ile yazılmıştır ve bir kurbanın pencere bilgisayarının kontrolünü ele geçirmek için tasarlanmıştır. Yaratıcısı yazılımın “eğitim ve etik amaçlar” için sağlandığını söylemesine rağmen, aracın yetenekleri aksini önermektedir.
Kullanıcı kimlik bilgilerini çalmak, kripto para birimi cüzdan adreslerini değiştirmek ve hatta dosyaları fidye yazılımı özellikleriyle kilitlemek için tasarlanan Neptune Rat, saldırganlara enfekte bir sistem üzerinde kapsamlı bir kontrol sağlar.
Nasıl yayılıyor
Kötü amaçlı yazılım sosyal platformlara serbestçe dağıtılır. Geliştirici, kaynak kodu yayınlamak yerine, analizi daha karmaşık hale getirerek yürütülebilir dosyayı gizler. Kötü niyetli kodlardan bazıları, tellerinin kısımlarını, araştırmacıların ters çabalarını zorlaştıran Arapça karakterler ve emojilerle değiştiriyor. Ücretsiz sürümünde Neptune Rat, Catbox.moe gibi dosya barındırma hizmetinde barındırılan ek bileşenleri indirmek ve çalıştırmak için otomatik olarak PowerShell komutları üretir.
Tehlikeli yetenekler
Neptune Rat, aşağıdakiler de dahil olmak üzere Windows bilgisayarlarından ödün vermek için birlikte çalışan modüllerin bir karışımıyla birlikte gelir:
- Kimlik Bilgisi Hırsızlığı ve Pano Kaçırımı: Kötü amaçlı yazılım, uygulamalardan ve popüler web tarayıcılarından giriş bilgilerini çıkaran bir şifre yakalama içerir. Ayrıca, kripto para birimi cüzdan adreslerini algılamak için panoyu izler ve bunları saldırganın kendisiyle değiştirir.
- Fidye yazılımı ve sistem hasarı: Etkinleştirildikten sonra, sıçan kurbanın bilgisayarındaki dosyaları şifreleyerek uzantılarını “.enc” olarak genişletebilir ve fidye bilgileriyle bir HTML dosyasını bırakabilir. Bir saldırgan sistemi kullanılamaz hale getirmek istiyorsa, ana önyükleme kaydı gibi sistem bileşenlerini bile bozabilir.
- Kaçınma ve Kalıcılık: Kaldırılmasını önlemek için, kötü amaçlı yazılım kayıt defteri değerlerini değiştirir ve Windows Görev Zamanlayıcısına ekler. Ayrıca sanal bir ortamda çalışıp çalışmadığını kontrol eder ve bir sanal makine algılanırsa yürütmeyi durdurur. Bu teknik kombinasyonu, sistemde kalıcı bir dayanağın korunmasına yardımcı olur.
- Ek Modüller: Ayrı DLL dosyaları, kullanıcı hesabı kontrollerini atlamak, çeşitli e -posta ve tarayıcı uygulamalarından veri çalmak ve hatta canlı ekran izlemeyi etkinleştirmek de dahil olmak üzere daha fazla özellik ekler.
Sisteminizi Koruma
Neptün Rat farklı stratejiler kullandığından, hem bireylerin hem de kuruluşların kendilerini korumak için hızlı hareket etmeleri gerekir. En iyi yaklaşım bazı basit uygulamalarla başlar: yalnızca güvendiğiniz kaynaklardan yazılımı indirin, pencerelerin ve tüm programlarınızın, özellikle güvenlik araçlarınızın güncel tutulduğundan ve önemli verileri düzenli olarak yedeklediğinden emin olun.
Ayrıca, hem dosya değişikliklerini hem de ağ etkinliğine göz kulak olabilecek anti-virüs yazılımı kullanmak da iyi bir fikirdir ve şüpheli herhangi bir şeye karşı daha iyi koruma sağlar.
Uzman içgörü
Massachusetts, Burlington’daki Black Duck’ta baş güvenlik danışmanı Satish Swargam, Neptün Rat’ın evrimine bakış açısını sundu. Kötü amaçlı yazılımların, GitHub, Telegram ve YouTube gibi platformlara standart güvenlik araçlarını geçecek şekilde yayarak kullanıcılardan hassas verileri çıkarmak için gelişmiş teknikler kullandığını açıkladı.
Swargam, “Bu araç, dosyalarınızı kilitlemek için fidye yazılımı dağıtabileceğinden, fidye ödenene kadar işletmeler için büyük kesintilere yol açabileceğinden, hackerların ekranlara gerçek zamanlı olarak casusluk yapmasına ve hatta pano içeriğini kendi kripto para cüzdanı adresleriyle değiştirmesine izin verdiğinden,” diye belirtti.
Kötü amaçlı yazılım, eğitim yazılımı bayrağı altında çevrimiçi olarak paylaşılanlara benzer yeni özellikler eklemeye devam ettikçe, kuruluşların sürekli izlemeyi sürdürmesi, güçlü uç nokta savunmaları dağıtmaları ve uzlaşma riskini azaltmak için aktif tehdit algılama önlemleri uygulamaları gerektiğini de sözlerine ekledi.