Microsoft, kripto cüzdan şifrelerini ele geçiren virüse karşı uyardı

Microsoft, şubat ayından bu yana Windows tabanlı kişisel bilgisayarlara USB bellekler üzerinden bulaşan yeni bir zararlı yazılımın kripto para cüzdanlarını hedef aldığını açıkladı. Şirket, söz konusu virüsü “crypto clipper” olarak tanımlarken Microsoft Defender Antivirus, tehdidi Trojan:Win32/CryptoBandits adıyla tespit ediyor.

Saldırı USB bellekteki kısayol dosyasıyla başlıyor

Microsoft’un blog yazısında aktardığına göre saldırı zinciri, virüs bulaşmış bir USB bellekte yer alan kötü amaçlı bir kısayol dosyasıyla başlıyor. Windows’ta “.lnk” uzantısıyla görülen bu kısayol dosyaları normalde belirli bir programı, klasörü ya da dosyayı açmak için kullanılıyor. Ancak saldırganlar bu yöntemi, kullanıcıların farkında olmadan zararlı yazılımı çalıştırması için kullanıyor.

Kullanıcı, USB belleği bilgisayara takıp ilgili kısayola tıkladığında sisteme “worm” olarak bilinen solucan türü bir zararlı yazılım yükleniyor. Bu yazılım, bilgisayara yerleştikten sonra iki temel işlevi aynı anda yerine getiriyor: Kripto cüzdanlarını hedef alan kodu sürekli çalıştırıyor ve aynı bilgisayara temiz bir USB bellek takılmasını bekleyerek yayılmaya hazırlanıyor.

Kopyalanan seed phrase ve özel anahtarlar çalınıyor

Zararlının en kritik bileşeni, Windows’un kopyala-yapıştır işlemlerinde kullandığı geçici bellek alanı olan panoyu yaklaşık her 500 milisaniyede bir kontrol ediyor.

Kullanıcı bir Bitcoin ya da Ethereum cüzdanına ait kurtarma kelimelerini veya özel anahtarını kopyaladığında, zararlı yazılım bu verileri yakalıyor ve anonim iletişim sağlayan açık kaynaklı Tor ağı üzerinden saldırganın sunucusuna gönderiyor. Microsoft’a göre virüs, ayrıca 10 saniye aralıklarla beş ekran görüntüsü alarak bunları da saldırgana iletiyor.

Kripto transferlerinde adres değiştirme riski

Tehdit bununla sınırlı değil. Kullanıcı, bir kripto para transferi yapmak için alıcı adresini kopyaladığında, zararlı yazılım bu adresi arka planda saldırganın kontrolündeki bir adresle değiştiriyor.

Kullanıcı herhangi bir uyarı görmeden yapıştırma işlemini gerçekleştirdiğinde, fonlar gerçek alıcı yerine saldırganın cüzdanına gönderilebiliyor. Bu yöntem, kripto para kullanıcılarının özellikle cüzdan adreslerini kopyala-yapıştır yöntemiyle kullandığı işlemlerde ciddi risk oluşturuyor.

Temiz USB bellekler de enfekte ediliyor

Zararlı yazılımın yayılma mekanizması da dikkat çekiyor. Temiz bir USB bellek enfekte bilgisayara takıldığında, yazılım bellekteki sıradan dosyaları, Word belgelerini, Excel tablolarını ve PDF dosyalarını tarıyor.

Ardından bu dosyaların yerine aynı isimleri taşıyan yeni kısayol dosyaları oluşturuyor ve USB belleği de enfekte ediyor. Böylece USB bellek başka bir bilgisayara takıldığında saldırı döngüsü yeniden başlıyor.

Microsoft’tan korunma önerileri

Microsoft, kullanıcıların ve kurumların bu tehdide karşı çıkarılabilir medyada AutoRun özelliğini devre dışı bırakmasını öneriyor. Şirket ayrıca grup ilkesi üzerinden USB belleklerde “.lnk” dosyalarının çalıştırılmasının engellenmesini ve wscript.exe ile cscript.exe gibi betik çalıştırıcılarının sınırlandırılmasını tavsiye ediyor.

Microsoft Defender kullanıcıları ise yerel Tor proxy bağlantıları da dahil olmak üzere, özellikle 9050 numaralı porta yönelik şüpheli aktiviteleri tespit etmek için tehdit avı sorguları çalıştırabiliyor.

İhlal göstergeleri yayımlandı

Microsoft, güvenlik ekiplerinin ağlarını kontrol edebilmesi için dosya hash’leri ve komuta-kontrol sunucusu olarak kullanılan “.onion” alan adlarını da içeren bir ihlal göstergeleri listesi yayımladı.

Şirketin uyarısı, kripto para kullanıcılarının özellikle USB bellek gibi harici depolama aygıtlarını kullanırken daha dikkatli olması gerektiğini bir kez daha ortaya koyuyor.