Kripto varlıklar ve dijital cüzdanlar, yeni tespit edilen zararlı yazılım Torg Grabber’ın hedefi haline geldi. Bu yazılım, 850’den fazla tarayıcı eklentisi arasında 728 kripto para cüzdan uzantısını tarayabiliyor. Tehdit, halihazırda aktif olarak kötü amaçlı amaçlarla kullanılıyor.
Yazılımın çalışma yöntemi ve tespit edilen teknikler
Torg Grabber bulaşma zincirinde, GAPI_Update.exe takma adını kullanan ve 60 MB büyüklüğünde olan InnoSetup tabanlı bir kurulum paketiyle dağıtılıyor. Bu dosya, Dropbox altyapısı üzerinden bilgisayarlara ulaşıyor. Sisteme sızdıktan sonra, üç zararsız görünen DLL dosyasını yerel dizine çıkartıyor ve ardından 420 saniye süren sahte bir Windows Güvenlik Güncellemesi yükleme ekranı başlatıyor. Bu süre boyunca arka planda zararlı yükleniyor ve kullanıcıya bir kurulum işlemi izlenimi veriliyor.
Kurulum tamamlanınca, rastgele adlandırılmış yürütülebilir dosyalar C:Windows dizinine bırakılmış durumda bulunuyor. Zararlı dosyanın yakalanan bir örneği çalıştırıldığında, yolunu, IP izlerini gizlemek veya tespit edilmemek için Windows’un etkinlik izleme sistemine müdahale etmeye çalıştı ancak davranışsal analiz tarafından engellendi.
Yazılım, Chromium tabanlı 25 tarayıcı ve 8 farklı Firefox türevinin yanı sıra Discord, Steam, Telegram, VPN, FTP ve e-posta istemcileri ile parola yöneticilerini de hedefleri arasına alıyor. Toplanan veriler anlık olarak sıkıştırılıyor veya küçük parçalar halinde dışarı aktarılıyor. Veri sızdırma işlemleri, Cloudflare altyapısı üzerinden ChaCha20 şifreleme ve HMAC-SHA256 kimlik doğrulaması ile yapılıyor. Altyapının profesyonel düzeye taşındığı belirtiliyor ve sıradan bir zararlı yerine, yapılandırılmış bir hizmet modeliyle karşı karşıya olunduğu anlaşılıyor.
Torg Grabber’ın 728 kripto cüzdanı hedeflediği, kullanıcıların cüzdan bilgilerinin çalınmasına olanak tanıdığı ve finansal motivasyonla bu saldırıların sürdüğü vurgulandı.
Kimin için risk oluşturuyor ve etkileri neler?
Torg Grabber, özellikle tarayıcı tabanlı sıcak cüzdan kullanıcılarını öncelikli risk grubunda bulunduruyor. MetaMask ve Phantom gibi eklenti cüzdanlarla işlem yapan kişiler, özel anahtar ya da şifreleme anahtarlarının bilgisayarda tutulması durumunda tüm varlıklarını tek seferde kaybedebilir. Fiziksel donanım cüzdanı kullananlar ise, yalnızca kurtarma kelimelerini dijital ortamda saklamışsa risk altına giriyor.
Torg Grabber’ın analizini üstlenen Gen Digital, üç ay içinde 334 farklı örnek derledi ve saldırının bir kanıt çalışmasından çok, halihazırda aktif kullanılan bir Hizmet Olarak Zararlı (MaaS) operasyonu olduğunu ortaya koydu. Gen Digital, ikili dosyalarda 40’a yakın operatör etiketi, tarih kodlu sürümler, Telegram kullanıcı adları gibi detaylar buldu. Sekiz farklı aktörün bu ağda yer aldığı ve operasyonun, Rus siber suç ekosistemiyle bağlantılı olduğu saptandı.
Saldırının temel hedefi, indirilen veya yedeklenen cüzdan dosyaları ile oturum belirteçleri üzerinde yoğunlaşmak. Eğer kurbanın blgisayarında borsalara ait aktif oturumlar açıksa, bu oturumlar üzerinden de yetkisiz erişim mümkün hale gelebiliyor.
Vidar ve RedLine gibi geçmiş sızıntılarda yaygınlaşan metodlar benimsense de, Torg Grabber ile saldırganlar daha gelişmiş bir altyapı ve kapsamlı bir cüzdan listesi üzerinde çalışıyor. 728 cüzdan sayısı, anlık tarama kapasitesinin işaretçisi olarak öne çıkıyor ve bu sayının ilerleyen dönemde yükselme potansiyeli var.
