Kripto Cüzdanlarına Yönelik Tehditler
Son dönemde, kripto para cüzdanlarına yönelik saldırıların arttığı gözlemleniyor. Tehdit aktörleri, kullanıcıların panolarını hedef alarak cüzdan adreslerini değiştiren kötü amaçlı yazılımlar yayıyor.
Saldırı Nasıl Çalışıyor?
Microsoft’un belirttiğine göre, saldırı süreci, kurbanın USB üzerinde bulunan bir LNK (kısayol) dosyasını açmasıyla başlıyor; bu da kötü amaçlı yazılımın etkinleşmesine neden oluyor. Ek payload’lar bir .ONION adresinden yükleniyor.
Kötü amaçlı yazılım, yerel sistemde belge dosyalarını aramak için tarama yapıyor. Bulunan dosyalar için orijinal dosyaları gizliyor ve aynı isme sahip, kötü amaçlı kısayol dosyaları oluşturuyor. Kullanıcı belgeleri açmaya çalıştığında, bu kısayollar kötü amaçlı yazılımın çalıştırılmasına neden oluyor.
Ayrıca, saldırganlar yeni bağlanan USB depolama cihazlarını izlemek için zamanlanmış görevler oluşturuyor. Bir çıkarılabilir sürücü bağlandığında, kötü amaçlı yazılım kendini cihaza kopyalayarak daha fazla kötü amaçlı kısayol dosyası oluşturuyor.
Kaynak: Microsoft
Veri Hırsızı
Kötü amaçlı yazılımın hırsızlık bileşeni, Task Manager‘ın pasif olduğundan emin olduktan sonra devreye giriyor ve Tor üzerinden komuta kontrol sunucusuyla iletişim kuruyor. Her yarım saniyede bir, panoya bakarak aşağıdaki verileri kontrol ediyor:
- 12 kelimeden oluşan BIP39 seed ifadeler
- 24 kelimeden oluşan BIP39 seed ifadeler
- Ethereum özel anahtarları
- Bitcoin WIF anahtarları
- Bitcoin legacy, P2SH, Bech32 ve Taproot cüzdan adresleri
- Tron cüzdan adresleri
- Monero cüzdan adresleri
Hedeflenen adresler, saldırganların cüzdan adreslerine benzemesi için başlangıç karakterlerine göre seçiliyor, böylece kullanıcı dolandırıcılığı çabuk fark edemiyor.
Ayrıca, kötü amaçlı yazılım her on saniyede bir kurbanın ekranından beş ekran görüntüsü alarak bunları C2 sunucusuna curl aracıyla gönderiyor. Microsoft’a göre, uzaktan kod çalıştırmayı destekleyen bir yapı bulunuyor; C2 EVAL talimatı tarafından tetiklenebiliyor.
Etkilenen Sistemler
Saldırıya dair en güçlü göstergeler, imza tabanlı olmayan davranışsal göstergeler. Aşağıdaki süreç aktivitelerine dikkat edilmesi öneriliyor:
- unexpected launches of wscript.exe
- unexpected launches of cscript.exe
- beklenmeyen curl, PowerShell, ve cmd.exe kullanımları
- garip çocuk süreçlerini izleme
Ayrıca, ‘localhost:9050’ bağlantıları ve Tor proxy aktiviteleri, bu kampanyayla ilişkili önemli uyarı işaretleri olarak öne çıkıyor.
Çözüm ve Korunma
Kullanıcıların aşağıdaki adımları takip etmesi son derece önemlidir:
- Düzenli güncellemeler yaparak sistemlerinizi koruyun.
- USB sürücülerle paylaşımlarınızı dikkatlice yönetin.
- Beklenmeyen iletişimlere karşı dikkatli olun ve sisteminizde olağandışı işlemleri gözlemleyin.
Cüzdanlarınıza erişimi korumanız için, güvenlik yazılımlarınızı güncel tutun ve şüpheli aktiviteleri takip edin. Unutmayın, dikkatli olmak her zaman en iyi korumadır.
