Yeni Kötü Amaçlı Yazılım, Google Chrome Üzerinden Kripto Cüzdanları Boşaltıyor

Yeni Kötü Amaçlı Yazılım Kripto Kullanıcılarını Hedef Alıyor, Cüzdan Kimlik Bilgilerini ve Finansal Verileri Çalıyor

StilachiRAT olarak bilinen yeni keşfedilen bir uzaktan erişim trojanı (RAT), kripto para kullanıcılarını dijital cüzdan kimlik bilgilerini çalarak ve hassas verileri dışarı çıkararak özellikle hedef alıyor. Microsoft Olay Müdahale araştırmacıları, kötü amaçlı yazılımın yeteneklerini 17 Mart 2025’te yayınladıkları bir raporda detaylandırarak, Google Chrome kullanıcılarının kripto para cüzdan uzantılarını ve kaydedilmiş giriş bilgilerini saklayan kişilere odaklandığını belirtti.

Microsoft’a göre:

StilachiRAT, Google Chrome tarayıcısı için belirli kripto para cüzdan uzantılarını hedef alıyor.

Kötü amaçlı yazılım, Bitget Cüzdan (eski adıyla Bitkeep), Trust Wallet, Tronlink, Metamask (ethereum), Tokenpocket, BNB Zincir Cüzdan, OKX Cüzdan, Sui Cüzdan, Braavos – Starknet Cüzdan, Coinbase Cüzdan, Leap Cosmos Cüzdan, Manta Cüzdan, Keplr, Phantom, Compass Cüzdan for Sei, Math Cüzdan, Fractal Cüzdan, Station Cüzdan, Confluxportal ve Plug dahil olmak üzere 20 farklı cüzdan uzantısını tarayarak, saldırganların dijital varlık bilgilerini çıkarmasına olanak tanır.

Kripto para cüzdanlarını hedeflemenin ötesinde, StilachiRAT aynı zamanda Google Chrome’da saklanan giriş kimlik bilgilerini şifreleme mekanizmalarını aşarak çalar. Raporda şu açıklanır: “StilachiRAT, bir kullanıcının dizinindeki yerel durum dosyasından Google Chrome’un encryption_key’ini çıkarır. Ancak, Chrome ilk kurulduğunda anahtar şifrelenmiş olduğundan, Windows API’lerini kullanarak mevcut kullanıcının bağlamına dayanarak ana anahtarı deşifre eder. Bu, şifre kasasındaki saklanan kimlik bilgilerine erişim sağlar.”

Bu durum, saldırganların finansal hesaplarla ilişkili kullanıcı adlarını ve şifrelerini ele geçirmelerine olanak tanıyarak kurbanların dijital varlıklarına yönelik riski daha da artırır. Ayrıca, StilachiRAT, ilk tespit sonrası bile kalıcı kalarak uzak operatörlerin komut yürütmesine, sistem süreçlerini manipüle etmesine ve kalıcı olmasına imkan tanıyan bir komut ve kontrol (C2) bağlantısı kurar.

Kötü amaçlı yazılım ayrıca sürekli olarak pano verilerini izleyerek kripto para anahtarlarını ve hassas finansal bilgilerini çıkarır. Microsoft’un raporu şunları kaydeder:

Pano izleme sürekli olup şifreler, kripto para anahtarları ve potansiyel olarak kişisel tanımlayıcılar gibi hassas bilgiler için hedeflenmiş aramalar içerir.

Kripto para adresleri ile ilişkilendirilmiş belirli kalıpları tarayarak, StilachiRAT kopyalanmış cüzdan adreslerini engelleyip saldırgan kontrolündeki bir hedefe yönlendirebilir. Riski azaltmak için Microsoft, kullanıcılara Microsoft Defender korumalarını etkinleştirmek, güvenli tarayıcılar kullanmak ve doğrulanmamış indirmelerden kaçınmak gibi güvenlik önlemlerini uygulamalarını önerir. Tehdit ortamı geliştikçe, siber güvenlik uzmanları, dijital varlıkları sömürmeyi amaçlayan yeni kötü amaçlı yazılımlara karşı kripto sahiplerini dikkatli olmaya çağırıyor.