Microsoft’un siber güvenlik ekibi, kripto para kullanıcılarını hedef alan ve “CryptoBandits” olarak adlandırılan yeni bir zararlı yazılım kampanyasını ortaya çıkardı. Şirketin paylaştığı bulgulara göre bu yazılım, kopyalanan cüzdan adreslerini gizlice değiştirerek dijital varlıkların saldırganların kontrolündeki adreslere gönderilmesine yol açabiliyor.
Bulaşma yöntemi ve çalışma şekli
Microsoft, söz konusu tehdidi gelişmiş bir “clipper” zararlısı olarak tanımladı. Bulgulara göre yazılım çoğunlukla güvenilir dosya ya da belge içeriyormuş gibi görünen bulaşmış bir USB sürücü üzerinden cihaza giriyor. Kullanıcı bu sürücüyü bilgisayarına taktığında zararlı yazılım arka planda sessiz biçimde çalışmaya başlıyor.
Mini sözlük: Clipper zararlısı, panoya kopyalanan verileri izleyen ve özellikle kripto cüzdan adreslerini saldırganın adresiyle değiştiren kötü amaçlı yazılım türüdür. Tor ise internet trafiğini farklı katmanlardan geçirerek kaynağı gizlemeyi amaçlayan bir ağ yapısıdır.
Araştırmacılara göre zararlı yazılım sisteme yerleştikten sonra Word, PDF ve Excel gibi yaygın dosya türlerini tarıyor. Ardından bu dosyaların yerine, görünüşte aynı dosyayı açıyormuş izlenimi veren ancak arka planda zararlıyı çalıştıran kısayollar bırakıyor. Kullanıcı bu kısayollara tıkladığında olağan bir işlem yapıldığını düşündüğü için tehdit uzun süre fark edilmeyebiliyor.
Microsoft Defender Experts, şubat 2026’dan bu yana takip edilen kampanyanın pano verisi hırsızlığı, cüzdan adresi değiştirme, solucan benzeri yayılma ve Tor tabanlı iletişimi bir araya getirdiğini bildirdi.
Cüzdan adresleri ve seed phrase hedef alınıyor
Microsoft’un aktardığına göre CryptoBandits’in en dikkat çeken özelliği, pano etkinliğini sürekli izlemesi. Araştırmacılar, yazılımın her yarım saniyede bir panodaki içeriği taradığını ve kripto cüzdan adresleri ile seed phrase verilerini aradığını belirtti. Uygun bir veri bulduğunda adresin anında değiştirildiği, kullanıcının fark etmeden işlemi onaylaması halinde varlıkların doğrudan saldırganın cüzdanına gidebildiği kaydedildi.
Kampanyanın izini gizlemeye dönük bir başka yönü de taşınabilir Tor istemcisi kullanması oldu. Bu yapı sayesinde internet trafiğinin Tor ağı üzerinden yönlendirildiği ve böylece saldırganların faaliyetlerini perdelemeye çalıştığı ifade edildi.
Araştırmacılar, kullanıcıların ödeme onayı vermeden önce cüzdan adresini mutlaka yeniden kontrol etmesi gerektiğini, aksi halde kopyalanan adresin fark edilmeden değiştirilebileceğini vurguladı.
Microsoft’un kullanıcılar için uyarıları
Microsoft, kaynağı bilinmeyen USB sürücülerin bilgisayarlara takılmamasını önerdi. Şirket ayrıca kripto para transferleri onaylanmadan önce cüzdan adreslerinin dikkatle doğrulanmasını, Microsoft Defender başta olmak üzere güvenlik yazılımlarının güncel tutulmasını tavsiye etti.
Şirketin değerlendirmesine göre saldırı yöntemlerinin giderek daha karmaşık hale gelmesi, özellikle dijital varlıklarla işlem yapan kullanıcılar için temel siber güvenlik önlemlerinin önemini artırıyor. Kampanya da bu riskin yalnızca cüzdan güvenliğiyle sınırlı olmadığını, fiziksel aygıtlar ve günlük dosya kullanımı üzerinden de yayılabildiğini gösteriyor.
