Yeliz Akmaca 
Microsoft, şubat ayından bu yana Windows bilgisayarlara bulaşan ve kripto para kullanıcılarını hedef alan yeni bir zararlı yazılım tespit ettiğini açıkladı. Şirketin “CryptoBandits” olarak adlandırdığı yazılım, USB bellekler üzerinden yayılıyor ve kullanıcıların cüzdan bilgilerini ele geçirebiliyor.
Microsoft Defender tarafından “Trojan/CryptoBandits” olarak tanımlanan zararlı yazılım, özellikle Bitcoin ve Ethereum gibi kripto para cüzdanlarını hedef alıyor.
Bulaşma USB Bellekle Başlıyor
Saldırı zinciri, zararlı dosya içeren bir USB belleğin bilgisayara takılmasıyla başlıyor.
Microsoft’un paylaştığı bilgilere göre saldırganlar, USB sürücülerine normal dosya gibi görünen ancak aslında zararlı komutlar çalıştıran “.lnk” uzantılı kısayol dosyaları yerleştiriyor.
Kullanıcı bu dosyaya tıkladığında sistem arka planda bir “worm” yani solucan yazılım yüklüyor. Yazılım daha sonra bilgisayarda çalışmaya devam ediyor ve aynı zamanda yeni USB aygıtlarının bağlanmasını bekliyor. Zararlı yazılım yalnızca cüzdan adreslerini değiştirmiyor. Kullanıcının panoya kopyaladığı seed phrase ve özel anahtarları da ele geçirerek saldırganların sunucularına gönderiyor.
Cüzdan Bilgilerini ve Özel Anahtarları Çalıyor
Zararlı yazılımın en dikkat çekici özelliği Windows panosunu sürekli izlemesi.
Pano, kullanıcıların kopyala-yapıştır işlemleri sırasında geçici olarak verileri sakladığı alan olarak biliniyor.
Microsoft’a göre yazılım yaklaşık her yarım saniyede bir panoyu kontrol ediyor. Kullanıcı bir kripto cüzdanına ait kurtarma ifadesini (seed phrase), özel anahtarı veya hassas bilgileri kopyaladığında yazılım bu verileri ele geçiriyor.
Toplanan bilgiler daha sonra Tor ağı üzerinden saldırganların sunucularına gönderiliyor.
Yazılım bununla da yetinmiyor. Sistemin ekran görüntülerini belirli aralıklarla alıyor ve bunları da saldırganlara iletiyor.
En Tehlikeli Özelliği Para Transferlerinde Ortaya Çıkıyor
Microsoft’un dikkat çektiği en kritik risk ise kripto para transferleri sırasında ortaya çıkıyor.
Kullanıcı bir alıcı cüzdan adresini kopyaladığında zararlı yazılım devreye giriyor. Yazılım, kopyalanan adresi sessizce saldırgana ait başka bir cüzdan adresiyle değiştiriyor.
Kullanıcı adresi kontrol etmeden işlemi onaylarsa gönderilen kripto para doğrudan saldırganın cüzdanına aktarılıyor.
Bu yöntem, kripto para dünyasında “clipper saldırısı” olarak biliniyor ve son yıllarda en sık kullanılan hırsızlık teknikleri arasında yer alıyor.
Temiz USB Bellekleri de Enfekte Ediyor
Zararlı yazılım yalnızca tek bir bilgisayarla sınırlı kalmıyor.
Bilgisayara yeni bir USB bellek takıldığında sürücüyü tarıyor ve içindeki Word, Excel veya PDF gibi dosyaları hedef alıyor. Daha sonra bu dosyaların yerine aynı isimleri taşıyan zararlı kısayollar oluşturuyor.
Böylece enfekte edilen USB bellek başka bilgisayarlara takıldığında zararlı yazılım yayılmaya devam ediyor.
Microsoft, bu özelliğin yazılımın kısa sürede çok sayıda cihaza ulaşmasını sağladığını belirtiyor.
Microsoft’tan Güvenlik Uyarısı
Şirket, kullanıcıların çıkarılabilir medya cihazlarında AutoRun özelliğini devre dışı bırakmasını öneriyor.
Ayrıca USB sürücülerindeki “.lnk” dosyalarının çalıştırılmasının engellenmesi ve wscript.exe ile cscript.exe gibi komut dosyası araçlarının sınırlandırılması tavsiye ediliyor.
Microsoft, güvenlik ekipleri için zararlı yazılımla ilişkili dosya imzalarını, alan adlarını ve saldırı göstergelerini de yayımladı.
Microsoft’un önerileri:
- USB sürücülerde AutoRun özelliğini kapatın.
- Bilinmeyen .lnk dosyalarını açmayın.
- Kripto transferlerinden önce cüzdan adresini son kez kontrol edin.
Özellikle kripto para kullanıcılarının USB belleklerden gelen dosyaları açarken dikkatli davranmaları ve transfer işlemlerinden önce cüzdan adreslerini manuel olarak kontrol etmeleri gerektiği belirtiliyor.
Bu içerik genel piyasa verilerine dayanır ve yatırım tavsiyesi değildir. Kendi araştırmanızı yapmanızı öneririz.
Son Dakika kripto para haberleri için hemen tıkla.
Konu ile ilgili yorumlarınızı bize yazabilirsiniz. Ayrıca, bu tarz bilgilendirici içeriklerin devamının gelmesini isterseniz, bizleri Telegram, Youtube ve Twitter kanallarımızdan takip edebilirsiniz.