Microsoft’un siber güvenlik araştırmacılarına göre, kripto para kullanıcılarını hedef alan yeni ve gelişmiş bir hırsızlık kampanyası tespit edildi. “CryptoBandits” adı verilen bu saldırı dalgasının, uzun süredir bilinen “clipper” türü zararlı yazılımları daha ileri bir seviyeye taşıdığı belirtildi.
Saldırının çalışma yöntemi
Geleneksel clipper zararlı yazılımları, kullanıcının panoya kopyaladığı kripto cüzdan adreslerini izleyip bunları saldırgana ait adreslerle değiştiriyor. Microsoft’un aktardığına göre CryptoBandits de aynı temel yöntemi kullanıyor, ancak yayılma ve gizlenme biçimiyle daha karmaşık bir yapı sergiliyor.
Zararlı yazılımın, bulaşmış USB bellekler üzerinden yayıldığı ve sıradan belge dosyaları gibi gizlendiği ifade edildi. Hedef sisteme ulaştıktan sonra .doc, .pdf ve .xlsx gibi yaygın dosya türlerini taradığı, bu dosyaları gizlediği ve aynı isimlerle kötü amaçlı .lnk kısayolları oluşturduğu kaydedildi. Kullanıcının bu kısayollara çift tıklaması halinde enfeksiyonun sessiz biçimde devreye girdiği aktarıldı.
Mini sözlük: Clipper zararlı yazılımı, kullanıcının panoya kopyaladığı özellikle kripto cüzdan adreslerini izleyip fark edilmeden başka bir adresle değiştiren kötü amaçlı yazılım türüdür. .lnk dosyaları ise Windows’ta kısayol görevi görür ve meşru bir belge gibi görünse de arka planda farklı bir işlemi çalıştırabilir.
Microsoft araştırmacılarına göre kampanya, büyük ve kolay fark edilen kurulum dosyalarına dayanmak yerine Windows’un yerleşik betik araçlarını kullanıyor; bu da yalnızca dosya taramasına dayanan güvenlik çözümleri için tespiti zorlaştırıyor.
Tor ağı ve pano takibi öne çıkıyor
Araştırmacılar, zararlı yazılımın sisteme yerleştikten sonra taşınabilir bir Tor istemcisi kurduğunu ve internet trafiğini gizli bir ara sunucu üzerinden yönlendirdiğini bildirdi. Bu yapının, saldırganların iletişimini saklamasına ve etkinliğin izini sürmeyi zorlaştırmasına yardımcı olduğu değerlendiriliyor.
Yazılımın ayrıca kurbanın panosunu her yarım saniyede bir kontrol ettiği belirtildi. Yalnızca cüzdan adreslerinin değil, seed phrase olarak bilinen kurtarma ifadelerinin de hedef alındığı kaydedildi. Tespit edilen içeriklerin, saldırgana ait benzer görünümlü verilerle değiştirilebildiği aktarıldı.
Neden tespiti daha zor görülüyor
Bu kampanyanın dikkat çeken yönlerinden biri, büyük boyutlu ve şüpheli kurulum paketleri kullanmaması oldu. Bunun yerine Windows’un yerleşik komut ve betik araçlarından yararlanıldığı için, dosya temelli klasik antivirüs taramalarının tehdidi ayırt etmesinin daha güç hale geldiği belirtildi.
Microsoft, bu nedenle özellikle taşınabilir depolama aygıtları konusunda daha dikkatli olunması gerektiğini vurguladı. Kaynağı bilinmeyen USB belleklerin bilgisayara takılmaması, kopyalanan cüzdan adreslerinin işlem öncesinde yeniden kontrol edilmesi ve yalnızca panodaki bilgiye güvenilmemesi önerildi.
Kullanıcılara güvenlik uyarısı
Araştırmacılar, güvenlik araçlarının güncel tutulmasının da kritik olduğunu belirtti. Özellikle Microsoft Defender gibi koruma yazılımlarının en son güncellemelerle çalışmasının, benzer tehditlere karşı ek savunma sağlayabileceği ifade edildi.
Kripto para transferlerinde adreslerin manuel doğrulanması ve bilinmeyen dosya ya da kısayolların açılmaması, bu tür saldırılara karşı ilk savunma adımları arasında gösteriliyor. Son bulgular, USB üzerinden yayılan zararlı yazılımların kripto varlık sahipleri için yeniden ciddi bir risk oluşturduğunu ortaya koyuyor.
