Microsoft, Şubat ayından bu yana USB bellekler üzerinden yayılan ve Windows kullanan kişilerin kripto varlık cüzdanlarını hedef alan yeni bir zararlı yazılım tespit ettiğini açıkladı. Şirket, bu tehdidi “crypto clipper” olarak tanımlarken, Microsoft Defender Antivirus içinde zararlının Trojan:Win32/CryptoBandits adıyla izlendiğini belirtti.
Zararlı yazılım nasıl çalışıyor?
Saldırı, bulaştırılmış bir USB sürücüsündeki kötü amaçlı .lnk uzantılı kısayol dosyasıyla başlıyor. Windows’ta bu dosyalar normalde bir programı, klasörü ya da dosyayı açmak için kullanılıyor. Ancak kullanıcı bu kısayola tıkladığında, bilgisayara solucan türü bir zararlı yazılım yükleniyor.
Yüklendikten sonra yazılım iki işlemi aynı anda yürütüyor. Bir yandan kripto cüzdanlardan veri toplamaya yönelik asıl kodu sürekli çalıştırıyor, diğer yandan da aynı bilgisayara temiz bir USB aygıtı takılmasını bekliyor. Böylece yalnızca tek bir sistemle sınırlı kalmayıp farklı taşınabilir aygıtlar üzerinden yayılabiliyor.
Microsoft’un aktardığına göre zararlı yazılım, pano verilerini düzenli aralıklarla izliyor; seed phrase, özel anahtar ve alıcı adresi gibi bilgileri topluyor, ardından bunları Tor ağı üzerinden saldırganlara iletiyor. Kullanıcı transfer için bir adres kopyaladığında ise bu adres, fark edilmeden saldırganın kontrol ettiği cüzdan adresiyle değiştirilebiliyor.
Hangi verileri hedef alıyor?
Microsoft’un verdiği bilgilere göre zararlı yazılım, Windows panosunu yaklaşık her 500 milisaniyede bir kontrol ediyor. Kullanıcının Bitcoin veya Ethereum gibi cüzdanlara ait seed phrase ya da özel anahtar kopyalaması halinde bu veriler ele geçiriliyor. Ayrıca yazılımın, 10 saniye arayla toplam beş ekran görüntüsü aldığı ve bunları da dışarıya gönderdiği belirtildi.
Buradaki en kritik risklerden biri, transfer adreslerinin sessiz biçimde değiştirilmesi. Kullanıcı fon göndermek için bir alıcı adresini kopyaladığında, zararlı yazılım yapıştırma aşamasından önce bu adresi saldırgana ait başka bir adresle değiştirebiliyor. Bu değişiklik görünür bir uyarı vermeden gerçekleştiği için işlemin yanlış adrese gitmesi mümkün hale geliyor.
Mini sözlük: Tor ağı, internet trafiğini farklı sunucular üzerinden yönlendirerek iletişimi daha gizli hale getiren açık kaynaklı bir yapı olarak biliniyor. Siber saldırılarda zaman zaman komuta kontrol trafiğini gizlemek için de kullanılabiliyor.
USB üzerinden yayılma yöntemi
Zararlı yazılımın yayılma mekanizması da dikkat çekiyor. Bilgisayara temiz bir USB sürücü takıldığında yazılım bu aygıttaki Word, Excel ve PDF gibi normal dosyaları tarıyor. Ardından bu dosyaların yerine aynı adları taşıyan yeni kısayol dosyaları koyarak USB sürücüyü de bulaştırıyor.
Bu yöntem, kullanıcıların dosyaların görünüşte aynı kaldığını düşünmesine yol açabiliyor. Böylece bulaşma döngüsü yeni bilgisayarlara taşınarak devam ediyor.
Microsoft’un güvenlik önerileri
Microsoft, çıkarılabilir medya için AutoRun özelliğinin kapatılmasını, grup ilkeleri üzerinden USB sürücülerde .lnk dosyalarının çalıştırılmasının engellenmesini ve wscript.exe ile cscript.exe gibi betik çalıştırıcılarının sınırlandırılmasını önerdi. Şirket ayrıca güvenlik ekiplerinin ağlarını yayımlanan uzlaşma göstergelerine göre taramasını istedi.
Açıklamaya göre bu göstergeler arasında dosya karmaları ile komuta kontrol sunucularında kullanıldığı belirtilen .onion alan adları da yer alıyor. Microsoft Defender kullanan müşterilerin ise yerel Tor vekil sunucusuna 9050 numaralı port üzerinden yapılan bağlantılar dahil ilgili etkinlikleri sorgulayabileceği ifade edildi.
