Microsoft güvenlik araştırmacıları, Şubat 2026’dan bu yana etkili olduğu belirtilen ve kripto varlıkları hedef alan yeni bir zararlı yazılım kampanyasını ortaya çıkardı. Trojan:Win32/CryptoBandits.A olarak izlenen yazılımın, özellikle USB bellekler üzerinden yayıldığı, kopyalanan cüzdan adreslerini kısa süre içinde saldırganların adresleriyle değiştirdiği aktarıldı. Microsoft, ABD merkezli teknoloji şirketi olmasının yanı sıra siber güvenlik tehditlerini izleyen geniş bir araştırma ekibine de sahip bulunuyor.
Zararlı yazılımın çalışma yöntemi
Aktarılan bilgilere göre bulaşma süreci, zararlı içeren bir USB sürücüsünün bilgisayara takılmasıyla başlıyor. Yazılım, gizlenmiş kısayol dosyaları üzerinden kötü amaçlı bileşeni çalıştırıyor ve ardından yerel depolama aygıtlarına kendi kopyasını yayabiliyor. Windows sistemine yerleştikten sonra ise komuta sunucularıyla kurduğu bağlantıyı gizlemek için Tor tabanlı ara sunuculardan yararlanıyor.
Asıl risk, kullanıcı transfer işlemi yaparken ortaya çıkıyor. Zararlı yazılımın panoyu her 500 milisaniyede bir izlediği, kullanıcının kopyaladığı cüzdan adresini yarım saniye dolmadan saldırganın adresiyle değiştirdiği belirtildi. Kullanıcı adresi manuel olarak doğrulamazsa gönderilen tutar doğrudan saldırganların cüzdanına gidebiliyor.
Microsoft araştırmacılarının bulgularına göre yazılım, yalnızca cüzdan adreslerini değiştirmekle kalmıyor, yerel dosyaları tarayarak özel anahtarlar ve seed phrase ifadelerini de ele geçirmeye çalışıyor.
Mini sözlük: Seed phrase, kripto cüzdanını kurtarmaya yarayan ve genellikle 12 ya da 24 kelimeden oluşan yedek ifadedir. Bu ifadenin ele geçirilmesi, cüzdandaki varlıkların kontrolünün kaybedilmesine yol açabilir.
Önerilen önlemler
Microsoft, bu tür saldırılara karşı günlük kullanım alışkanlıklarının gözden geçirilmesini önerdi. Windows cihazlarda AutoRun özelliğinin kapatılması, kaynağı bilinmeyen USB aygıtlarının kullanılmaması ve transfer onayı verilmeden önce cüzdan adresindeki tüm karakterlerin tek tek kontrol edilmesi tavsiye edildi. Ayrıca internet bağlantısından izole çalışan donanım cüzdanlarının, seed phrase bilgilerinin korunmasında en güvenilir seçeneklerden biri olduğu vurgulandı.
Microsoft’un önceki uyarıları ve operasyonları
Şirket daha önce de kripto kullanıcılarını hedef alan başka tehditler konusunda uyarıda bulunmuştu. Bunlar arasında, [email protected] ve [email protected] adlı iki npm paketine gizlenmiş zararlı bileşenler yer alıyordu. Söz konusu araçların uzaktan erişim zararlısı yoluyla klavye girişlerini ve ekran görüntülerini topladığı, ardından cüzdan kimlik bilgilerini dışarı sızdırdığı açıklanmıştı.
Microsoft, Mayıs 2025’te ise küresel çapta koordine edilen bir operasyonun öncülüğünü üstlenmiş ve 2022 sonlarından beri etkin olduğu belirtilen Lumma Stealer yapılanmasına karşı geniş kapsamlı adımlar atmıştı. Bu operasyon kapsamında 2.300 kötü amaçlı alan adına el konulduğu, ABD Adalet Bakanlığının merkezi kontrol paneline ve karanlık ağ pazarlarına yönelik müdahalede bulunduğu bildirildi.
Mahkeme kararı doğrultusunda yürütülen süreçte, Microsoft’un Dijital Suçlar Birimi 2.300 alan adına el koyarken, Europol EC3 ve Japonya JC3 de Avrupa ile Asya’daki kalan sunucuların faaliyetini durdurdu.
Güncel bulgular, fiziksel taşıyıcılar üzerinden yayılan zararlıların kripto güvenliği açısından yeniden öne çıktığını gösteriyor. Özellikle USB tabanlı bulaşma yöntemi ile pano verisini hedef alan adres değiştirme tekniğinin birlikte kullanılması, bireysel yatırımcılar açısından dikkatli doğrulama süreçlerini daha da önemli hale getiriyor.
