Microsoft, USB sürücüler aracılığıyla yayılan ve kripto para kullanıcılarının cüzdan bilgilerini hedef alan “Crypto Clipper” türü kötü amaçlı yazılım konusunda Windows kullanıcılarını uyardı.
Şubat ayından bu yana kullanıcıları etkilediği belirtilen zararlı yazılım; pano verilerini çalma, ekran görüntüsü alma, kripto cüzdan adreslerini değiştirme ve uzaktan kod çalıştırma gibi yöntemler kullanıyor.
USB Sürücüler Aracılığıyla Yayılıyor
Kötü amaçlı yazılım, USB depolama aygıtlarındaki meşru dosyaları gizliyor ve bunların yerine benzer görünümlü kısayollar oluşturuyor. Kullanıcılar gerçek dosyayı açtıklarını düşünürken farkında olmadan zararlı yazılımı çalıştırıyor.
Yazılımın özelliği sayesinde zararlı dosyalar, bilgisayara bağlanan diğer USB sürücülere de otomatik olarak kopyalanabiliyor. Bu durum, kötü amaçlı yazılımın farklı cihazlara hızlı biçimde yayılmasına neden oluyor.
Cüzdan Adreslerini Saldırganın Adresiyle Değiştiriyor
Crypto Clipper, kullanıcının panoya kopyaladığı Bitcoin, Tron ve Monero cüzdan adreslerini tespit ederek bunları saldırganların kontrolündeki adreslerle değiştirebiliyor. Kullanıcı, işlem sırasında adresi yeniden kontrol etmezse kripto varlıklarını farkında olmadan saldırganın cüzdanına gönderebiliyor.
Zararlı yazılım ayrıca BIP39 kurtarma ifadeleri ile Bitcoin ve Ethereum özel anahtarları gibi yüksek değerli finansal verileri de hedef alıyor. Bu bilgilerin ele geçirilmesi, saldırganların kullanıcının kripto cüzdanına doğrudan erişmesine yol açabiliyor.
Her 10 Saniyede Bir Ekran Görüntüsü Alıyor
Kötü amaçlı yazılım, pano hareketlerini takip etmenin yanı sıra yaklaşık her 10 saniyede bir ekran görüntüsü alıyor.
Bu yöntemle saldırganlar, kullanıcının açtığı kripto para platformlarını, cüzdan uygulamalarını, hesap bilgilerini ve gerçekleştirdiği işlemleri takip edebiliyor. Elde edilen ekran görüntüleri, çalınan pano verilerine ilişkin ek bağlam sağlamak amacıyla saldırganlara gönderiliyor.
Bilgisayara Gizlice Tor Kuruluyor
Zararlı yazılım, enfekte edilen bilgisayara gizlice Tor yazılımının bir kopyasını kuruyor. Ancak şüphe çekmemek amacıyla dosyanın adı “ugate.exe” olarak değiştiriliyor.
Yazılım daha sonra Tor ağı üzerinden gizli “onion” adreslerinde bulunan komuta ve kontrol sunucularıyla bağlantı kuruyor. Bu yöntem, saldırganların gerçek sunucu konumlarını ve IP adreslerini gizlemesini kolaylaştırıyor.
