Bugünkü konumuz fareler! Ancak bu fareler bildiğimiz uzun kuyruklular değil; dijital türdeki Uzaktan Erişim Truva Atı araçları anlamına gelen RAT’lar. Bunlar, saldırganların bir cihaza uzaktan erişim sağlamak için kullandıkları Truva atlarıdır. Tipik olarak bu RAT’lar programları yükleyip kaldırabilir, panoyu kontrol edebilir ve tuş vuruşlarını kaydedebilir.
Mayıs 2024’te, yeni bir RAT türü olan SambaSpy radarımıza girdi. Bu kötü amaçlı yazılımın kurbanlarının cihazlarına nasıl bulaştığını ve içeri girdikten sonra ne yaptığını öğrenmek için okumaya devam edin.
SambaSpy nedir?
SambaSpy; tespit ve analiz edilmeyi çok daha zor hale getiren Zelix KlassMaster kullanılarak gizlenmiş, zengin özelliklere sahip bir RAT Truva atıdır. Ancak ekibimiz bu zorluğun üstesinden geldi ve bu yeni RAT’ın neler yapabileceğini keşfetti:
- Dosya sistemini ve işlemleri yönetme
- Dosya indirme ve yükleme
- Web kamerasını kontrol etme
- Ekran görüntüsü alma
- Parolaları çalma
- Eklentiler yükleme
- Masaüstünü uzaktan kontrol etme
- Tuş vuruşlarını günlüğe kaydetme
- Panoyu yönetme
Etkilendiniz mi? Görünüşe göre her şeyi yapabilen SambaSpy, 21. yüzyıl James Bond kötü adamları için mükemmel bir araç. Ancak bu geniş liste bile yeterince kapsamlı değil; çalışmamızın tam versiyonunda bu RAT’ın yetenekleri hakkında daha fazla bilgi bulabilirsiniz.
Ortaya çıkardığımız kötü amaçlı saldırı kampanyası, yalnızca İtalya’daki kurbanları hedef alıyordu. Belki şaşıracaksınız ama bu aslında, İtalyanlar hariç herkes için! iyi bir haber. Tehdit aktörleri genellikle kârlarını maksimize etmek için geniş bir ağ oluşturmaya çalışırlar, ancak bu saldırganlar sadece bir ülkeye odaklanmış. Peki bu neden iyi bir şey? Saldırganların operasyonlarını diğer ülkelere genişletmeden önce İtalyan kullanıcılarla test ediyor olmaları muhtemel. Biz ise hem SambaSpy’ı hem de ona nasıl karşı neler yapabileceğimizi bildiğimiz için zaten bir adım öndeyiz. Dünya çapındaki kullanıcılarımızın tek yapması gereken güvenilir bir güvenlik çözümüne sahip olduklarından emin olmak ve bunu sağladığımızı bilerek okumaya devam etmektir.
Saldırganlar SambaSpy’ı nasıl yayıyor?
En kısa cevap: Tıpkı diğer birçok RAT gibi, e-posta yoluyla. Saldırganlar; her ikisi de bir emlak acentesinden gelen mesajlar kılığında, kimlik avı e-postalarını içeren iki ana bulaşma zinciri kullanmışlar. E-postadaki temel bileşen, bir bağlantıya tıklayarak faturayı kontrol etmeye yönelik bir CTA.
Bağlantıya tıklandığında kullanıcılar, sistem dilini ve kullanılan tarayıcıyı kontrol eden kötü amaçlı bir web sitesine yönlendiriliyor. Potansiyel kurbanların işletim sistemleri İtalyanca olarak ayarlıysa ve bağlantıyı Edge, Firefox veya Chrome’da açarlarsa, cihazlarına bir yükleyici veya indirici ile bulaşan kötü amaçlı bir PDF dosyası alırlar. İkisi arasında çok fark yoktur; yükleyici Truva Atı yazılımını hemen yüklerken, indirici önce saldırganların sunucularından gerekli bileşenleri indirir.
İşe başlamadan önce, hem yükleyici hem de indirici, sistemin sanal bir makinede çalışmadığını ve en önemlisi işletim sistemi dilinin İtalyanca olarak ayarlandığını kontrol eder. Her iki koşul da karşılanırsa cihaz enfekte olur.
Bu kriterlere uymayan kullanıcılar, dijital faturaları saklamak ve yönetmek için bulut tabanlı bir İtalyan çözümü olan FattureInCloud‘un web sitesine yönlendirilir. Bu akıllıca kılık değiştirme, saldırganların yalnızca belirli bir kitleyi hedef almasına olanak tanır, çünkü diğer herkes gerçek bir web sitesine yönlendirilir.
SambaSpy’ın arkasında kim var?
SambaSpy’ın bu sofistike dağıtımının arkasında hangi grubun olduğunu henüz belirleyemedik. Ancak, ikinci derece kanıtlar bize saldırganların Brezilya Portekizcesi konuştuğunu gösterdi. Ayrıca tespit edilen diğer saldırılarda, aynı grup tarafından kullanılan kötü amaçlı alan adlarından da anlaşılacağı üzere, grubun faaliyetlerini İspanya ve Brezilya’ya doğru genişlettiğini de biliyoruz. Bu arada, bu tür saldırılar artık dil kontrolünü içermiyor.
Kendinizi SambaSpy’dan nasıl korursunuz?
Bu hikayeden çıkarılacak en önemli sonuç, herhangi bir yerde, herhangi bir dili konuşan herkesin bir sonraki saldırının hedefi olabileceğine işaret eden bulaşma yöntemidir. Saldırganlar için kimi vurdukları ya da kimlik avı tuzağının ayrıntıları önemli değildir. Bu saldırı; bugün bir emlak acentesinden gelen bir fatura, yarın bir vergi bildirimi ve ondan sonraki gün ise uçak biletleri ve hatta seyahat kuponları olabilir.
İşte SambaSpy’a karşı güvende kalmanıza yardımcı olacak birkaç ipucu ve öneri:
- Cihazınız herhangi bir bulaşma belirtisi göstermeden önce Kaspersky Premium yükleyin. Çözümümüz hem SambaSpy’ı hem de diğer kötü amaçlı yazılımları güvenilir bir şekilde tespit eder ve etkisiz hale getirir.
- Kimlik avı e-postalarına karşı her zaman dikkatli olun. Gelen kutunuzdaki bir bağlantıya tıklamadan önce bir dakikalığına durun ve kendinize “Bu bir dolandırıcılık olabilir mi?” diye sorun.