Hackerlar, Kurban Bilgisayarları İzlemek, Çalmak ve Silmek için Neptune RAT’ı Kullanıyor

Neptune RAT adlı güçlü bir Uzaktan Erişim Truva Atı’nın (RAT) tehlikeli yeni bir versiyonu, CYFIRMA adlı siber güvenlik araştırmacıları tarafından keşfedildi. Bu zararlı yazılım, şifreleri çalabilir, kripto para işlemlerini ele geçirebilir, kurbanları gerçek zamanlı olarak izleyebilir ve hatta Windows sistemlerini yok edebilir.

Bu kötü amaçlı yazılım, “En Gelişmiş RAT” olarak tanıtıldığı GitHub, Telegram ve YouTube üzerinden yayılıyor. Saldırganlar, kötü amaçlı yazılımı indirmek ve çalıştırmak için PowerShell komutlarını kullanıyor.

Saldırganlar, sessiz indirmeler ve yürütmeler gerçekleştirmek için catbox.moe üzerinde yer alan zararlı bir script kullanıyor. Kurbanın AppData klasörü, Neptune RAT kurulumunu alır ve bu kurulum, saldırganların enfekte olmuş makinelerin tam kontrolünü sağlayan uzak sunucu bağlantıları kurar.

Neptune RAT, geniş bir yetenek yelpazesi içermesi nedeniyle önemli bir tehdit oluşturuyor. 270’den fazla uygulamadan – popüler web tarayıcıları Chrome, Opera ve Brave dahil olmak üzere – şifreleri çalma ve giriş bilgilerini çıkarma yeteneğine sahip.

Bu aynı zamanda bir kripto klipper olarak işlev görür ve kopyalanan kripto para cüzdan adreslerini saldırganın kendi adresiyle değiştirerek işlemleri kaçırır. Daha aşırı durumlarda, dosyaları şifreler ve onların serbest bırakılması için Bitcoin ödemeleri talep eder. Ransomware olarak işler.

Bu zararlı yazılım, kurbanın ekranını gerçek zamanlı olarak bile izleyebilir ve ağır saldırılarda, Master Boot Record (MBR)’ı bozabilir, böylece sistemin açılmasını engeller. Kurulum sırasında antivirüs yazılımını devre dışı bırakarak algılanmasını önler.

Neptune RAT, kod gizleme yöntemleri sayesinde gizli kalır. Bunlar arasında Arapça metinler ve emojiler bulunur, bu da araştırmacıların programlamasını analiz etmeyi zorlaştırır. Ayrıca, bu kötü amaçlı yazılım, analiz aktivitelerini algıladığında kapanma prosedürlerini aktive eden bir anti-sanal makine koruması içerir.

CYFIRMA’ya göre, “Mason Team” adıyla anılan kötü amaçlı yazılımın yaratıcısı, YouTube’da gösteriler yüklemiş ve GitHub’da Neptune RAT’ın ücretsiz bir versiyonunu sunmuştur. Araştırma, geliştiricinin kendisini Moskova doğumlu, şu anda Suudi Arabistan’da yaşayan bir kodcu olarak nitelendirdiğini ve kötü amaçlı yazılımın geliştirilmesine bağlı olarak Discord ve YouTube’da kamuya açık aktiviteler olduğunu bildiriyor.