PRINCIPAL DATA SECURITY CONSULTANT

Platformlar Arası Yeteneklere ve Kapsamlı Uzaktan Erişim Özelliklerine Sahip Python Tabanlı PyRAT

2 min read
1 hafta ago Seyhan Tekelioğlu
Gelişmiş gözetim ve veri hırsızlığı yeteneklerine sahip hem Windows hem de Linux sistemlerini hedef alan yeni bir Python tabanlı uzaktan erişim truva atı ortaya çıktı. Kötü amaçlı yazılım, şifrelenmemiş http kanalları aracılığıyla komuta ve kontrol iletişimi kurarak çalışır ve saldırganların komutları yürütmesine, dosyaları çalmasına ve ekran görüntülerini uzaktan yakalamasına olanak tanır. Yürütüldüğünde, işletim sistemi türü,…

Gelişmiş gözetim ve veri hırsızlığı yeteneklerine sahip hem Windows hem de Linux sistemlerini hedef alan yeni bir Python tabanlı uzaktan erişim truva atı ortaya çıktı. Kötü amaçlı yazılım, şifrelenmemiş http kanalları aracılığıyla komuta ve kontrol iletişimi kurarak çalışır ve saldırganların komutları yürütmesine, dosyaları çalmasına ve ekran görüntülerini uzaktan yakalamasına olanak tanır. Yürütüldüğünde, işletim sistemi türü, ana bilgisayar adı ve mevcut kullanıcı adı gibi ayrıntıları toplayarak kurbanın sistemindeki parmak izini hemen almaya başlar. Bu bilgiler daha sonra saldırganın sunucusuna iletilir ve oturumlar boyunca bireysel mağdurları izlemelerini sağlar. K7 Security Labs araştırmacıları, VirusTotal'daki rutin araştırmalar sırasında kötü amaçlı yazılımı tespit etti ve burada tamamen Python ile yazılmış bir ELF ikilisi keşfetti. Truva atı, Python 2.7 ile PyInstaller sürüm 2.1 kullanılarak paketlendi ve kötü amaçlı kodunu meşru bir yürütülebilir dosya gibi görünen bir dosyanın içinde gizledi. İçe aktarılan modüller (Kaynak – K7 Güvenlik Laboratuvarları)

Analistler, özel araçlar kullanılarak çıkarıldıktan sonra, “Agent” adı verilen tek bir sınıf altında düzenlenen tam uzaktan erişim işlevini içeren agent-svc.pyc adlı bir dosyadaki ana giriş noktasını ortaya çıkardılar.

Kötü amaçlı yazılım, işletim sistemine bağlı olarak farklı kalıcılık sağlar. Linux sistemlerinde, algılanmayı önlemek için meşru Debian paket araçlarını taklit eden bir ad kullanarak ~/.config/autostart/dpkgn.desktop adresinde aldatıcı bir otomatik başlatma girdisi oluşturur. Bu dosya, kullanıcılar oturum açtığında otomatik olarak yürütülür ve yönetici ayrıcalıkları gerektirmeden kötü amaçlı yazılımın varlığını korur. C2 ile İletişim (Kaynak – K7 Güvenlik Laboratuvarları)

Windows sistemlerinde, mevcut kullanıcının Çalıştır anahtarına "lee" adı altında bir kayıt defteri girişi ekler ve kullanıcı düzeyinde izinler dahilinde kalırken başlangıçta otomatik olarak yürütülmesini sağlar.

Kaynak: Cyber Security News

Yayin Tarihi: 29.01.2026 17:48

Bu haber otomatik olarak Ingilizceden Turkceye cevrilmistir.

Görüntülenme: 6
Tags:

Benzer Yazılar

1 min read

DEAD#VAX Malware Campaign Deploys AsyncRAT via IPFS-Hosted VHD Phishing Files

24 saniye ago Seyhan Tekelioğlu
2 min read

CISA, Fidye Yazılımı Saldırılarında Sömürülen VMware ESXi 0 Günlük Güvenlik Açığına Karşı Uyardı

12 saat ago Seyhan Tekelioğlu
2 min read

Amaranth – Dragon, Mağdur Sistemlerine Kalıcı Kazanç Sağlamak için WinRAR Kırılganlığını Sömürüyor

24 saat ago Seyhan Tekelioğlu

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bunlara bir göz atın

1 min read

DEAD#VAX Malware Campaign Deploys AsyncRAT via IPFS-Hosted VHD Phishing Files

24 saniye ago Seyhan Tekelioğlu
2 min read

CISA, Fidye Yazılımı Saldırılarında Sömürülen VMware ESXi 0 Günlük Güvenlik Açığına Karşı Uyardı

12 saat ago Seyhan Tekelioğlu
2 min read

Amaranth – Dragon, Mağdur Sistemlerine Kalıcı Kazanç Sağlamak için WinRAR Kırılganlığını Sömürüyor

24 saat ago Seyhan Tekelioğlu
2 min read

PowerShell Komutlarını Yürütmek için ClickFix Komut Dosyasında DNS txt Kayıtlarını Kullanan Saldırganlar

1 gün ago Seyhan Tekelioğlu