Siber Güvenlik

Kaspersky, Skype Messenger aracılığıyla finans kurumlarını hedef alan yeni bir uzaktan erişim Truva atı keşfetti

22 Ağustos 2025
incelet.com

Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), GodRAT adlı yeni bir Uzaktan Erişim Truva atını ortaya çıkardı. Bu Truva atı, finansal belgeler gibi görünen kötü amaçlı ekran koruyucu dosyaları aracılığıyla dağıtıldı ve Mart 2025’e kadar Skype üzerinden iletildi. Ardından diğer kanallara geçti. Kampanya boyunca BAE, Hong Kong, Ürdün ve Lübnan’daki KOBİ’ler hedef alındı.

Tehdit aktörü, 2024 yılının Temmuz ayında popüler bir çevrimiçi tarayıcıda bir müşterinin kaynak kodunda bulunan ve GodRAT adlı yeni tanımlanmış Uzaktan Erişim Truva Atını (RAT) kullandı. GodRAT V3.5_______dll.rar adlı arşiv, hem çalıştırılabilir hem DLL yükleri oluşturabilen GodRAT oluşturucuyu da içeriyor. Bu oluşturucu, saldırganların kod enjeksiyonu için meşru işlem adlarını seçerek (ör. svchost.exe, cmd.exe, wscript.exe) ve son dosyayı .exe, .com, .bat, .scr ve .pif gibi çeşitli formatlarda kaydederek kötü amaçlı yükü gizlemelerine olanak tanıyor.

Saldırganlar, tespit edilmekten kaçınmak için finansal verileri gösteren görüntü dosyalarına kabuk kodu yerleştirmek için steganografi tekniğini kullandılar. Bu kabuk kodu, GodRAT kötü amaçlı yazılımını bir Komuta ve Kontrol (C2) sunucusundan indiriyor. RAT daha sonra yapılandırma bloğunda belirtilen bağlantı noktasını kullanarak C2 sunucusuna bir TCP bağlantısı kuruyor. İşletim sistemi ayrıntılarını, yerel ana bilgisayar adını, kötü amaçlı yazılım işlem adını ve işlem kimliğini, kötü amaçlı yazılım işlemiyle ilişkili kullanıcı hesabını, yüklü antivirüs yazılımını ve yakalama sürücüsünün varlığını topluyor.

GodRAT eklentileri de destekliyor. Bir kez yüklendikten sonra saldırganlar, kurbanların sistemlerini keşfetmek için FileManager eklentisini kullandılar ve kimlik bilgilerini ele geçirmek için Chrome ve Microsoft Edge’i hedef alan şifre hırsızlarını dağıttılar. GodRAT’a ek olarak, uzun süreli erişimi sürdürmek için ikincil bir implant olarak AsyncRAT’ı da kullandılar.

Kaspersky Küresel Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Saurabh Sharma, konuya ilişkin şunları söyledi: “GodRAT, Kaspersky tarafından 2023 yılında rapor edilen ve muhtemelen Winnti APT ile bağlantılı olan AwesomePuppet’ın bir evrimi gibi görünüyor. Dağıtım yöntemleri, nadir komut satırı parametreleri, Gh0st RAT ile kod benzerlikleri ve ortak kalıntıları (örneğin, ayırt edici parmak izi başlığı), ortak bir kökeni işaret ediyor. Neredeyse yirmi yıllık olmasına rağmen Gh0st RAT gibi eski implant kod tabanları tehdit aktörleri tarafından aktif olarak kullanılmaya devam ediyor, genellikle çeşitli kurbanları hedeflemek için özelleştirilip yeniden oluşturuluyor. GodRAT’ın keşfi, bu tür uzun süredir bilinen araçların günümüzün siber güvenlik ortamında nasıl hala geçerli olabileceğini gösteriyor.” 

Daha fazla bilgi Securelist.com adresindeki raporda yer alıyor.

Güvenliğinizi sağlamak için Kaspersky şunları öneriyor:

  • İşletim sisteminizi, tarayıcınızı, antivirüsünüzü ve diğer programlarınızı düzenli olarak güncelleyin. Suçlular, sistemleri tehlikeye atmak için yazılımdaki güvenlik açıklarını kullanma eğilimindedir.
  • Şirketinizi bu tür tehditlere karşı korumak için, her büyüklükteki ve sektördeki kuruluşlar için EDR ve XDR’nin gerçek zamanlı koruma, tehdit görünürlüğü, araştırma ve yanıt yeteneklerini sunabilen  Kaspersky Next ürün serisindeki çözümleri kullanın.
  • Windows ayarlarında “Dosya uzantılarını göster” seçeneğini etkinleştirebilirsiniz. Bu, potansiyel olarak zararlı dosyaları ayırt etmeyi çok daha kolay hale getirecektir. Truva atları çalıştırılabilir programlar olduğundan, “exe”, “vbs” ve “scr” gibi dosya uzantılarından uzak durma konusunda dikkatli olun. Tanıdık birçok dosya türü de tehlikeli olabileceğinden, bu konuda dikkatli olmanız gerekir. Dolandırıcılar, kötü amaçlı bir dosyayı video, fotoğraf veya belge gibi göstermek için çeşitli uzantılar kullanabilir (örneğin hot-chics.avi.exe veya doc.scr).
Paylaş