Giriş
Microsoft, Şubat 2026’dan bu yana kullanıcıları hedef alan bir Windows tabanlı kripto para kliperi kampanyası hakkında detaylar açıkladı. Bu tür kötü amaçlı yazılımların artışı, siber güvenlik tehditlerini daha da artırmakta ve kullanıcıların finansal bilgilerini korumasını zorlaştırmaktadır.
Saldırı Nasıl Çalışıyor?
Bu kliper yazılımı, Windows Script Host ve ActiveX tabanlı mantık kullanarak bir pakette Tor proxy’si başlatmakta ve gizli bir C2 (komut ve kontrol) sunucusunu sorgulamaktadır. Aşağıdaki yöntemlerle çalışmaktadır:
- Yüksek frekanslı clipboard çalması: Kullanıcıların clipboard’unda bulunan kripto para cüzdan bilgilerini ele geçirir.
- Screenshot (ekran görüntüsü) sızdırma: Kullanıcının ekranından görüntü alarak hassas verileri aktarır.
- Cüzdan adresi değiştirme: Kullanıcıların panosuna kopyalanan cüzdan adreslerini, saldırganın kontrolündeki adreslerle değiştirir.
Bu kliper, geleneksel bir yükleyiciye veya açık IP tabanlı C2 altyapısına dayanmaz. Bunun yerine, taşınabilir bir Tor istemcisi dağıtır ve trafiği yerel bir SOCKS5 proxy üzerinden yönlendirir, bu da veri çalmayı uzaktan kod yürütme ile birleştirir, böylece finansal olarak motive edilmiş bir çalıcının hafif bir arka kapıya dönüşmesini sağlar.
Etkilenen Sistemler
Saldırılar, kötü amaçlı bir Windows Kısayolu (LNK) dosyasının USB depolama aygıtları aracılığıyla dağıtılmasıyla başlamaktadır. LNK dosyasına tıklandığında, bazı kontrol mekanizmaları ile birlikte bir solucan bileşeni tetiklenir. Bu aşamada yapılan kontroller:
- Bilgisayarın zaten enfekte olup olmadığını kontrol etme: Eğer yoksa uzaktan yük yüklemek için devam eder.
- Yayılma: Diğer USB sürücülerine yayılmak için planlanmış görevler oluşturur.
LNK yükü, USB cihazını yaygın belge türleri (DOC, XLSX, PDF) için tarar, bulursa bunları gizler ve aynı dosya adını taşıyan yeni LNK dosyaları oluşturur.
Çözüm ve Korunma
Microsoft, güvenlik uygulayıcıların statik imza yerine davranışsal tespitleri önceliklendirmesini öneriyor. Aşağıdaki önlemleri almak kritik önem taşımaktadır:
- AutoRun/AutoPlay özelliğini tüm taşınabilir medya için devre dışı bırakın.
- Taşınabilir sürücülerden LNK dosyalarının yürütülmesini engellemek için Grup Politikası Nesneleri (GPO) kullanın.
- Gereksiz kullanımlarını kısıtlayarak wscript.exe veya cscript.exe üzerinde kısıtlamalar koyun.
- Hassas finansal işlemler yapan cihazlarda clipboard ve ekran görüntüsü alma davranışlarını gözden geçirin.
Sonuç olarak, tüm kullanıcıların sistemlerini güncellemeleri ve yukarıda belirtilen önlemleri almaları hayati önem taşımaktadır. Ayrıca, istem dışı davranışları ve şüpheli süreçleri takip etmek, korunma stratejileri arasında yer almalıdır.
