Haberler 
Coin Bilgisi 
Hakkımızda 
트로그 그랩버(Torg Grabber) adlı yeni bir ‘info-stealer’ kötü amaçlı yazılım, 700’ün üzerindeki kripto para cüzdanını doğrudan hedef alarak gerçek saldırılarda kullanılmaya başladı. Özellikle tarayıcı tabanlı cüzdan kullanıcıları ve ‘kendin saklama’ ortamları ön plana çıktıkça, kripto topluluğunda *güvenlik* uyarıları artıyor.
Gen Digital’e göre bu zararlı yazılım, 25 farklı Chromium tabanlı ve 8 farklı Firefox tabanlı tarayıcıda çalışıyor ve toplam 850 uzantıyı tarıyor. Bunların 728’inin kripto para cüzdanı olduğu tespit edildi. MetaMask ve Phantom gibi önde gelen ‘sıcak cüzdanlar’ da listede yer alıyor. Kötü amaçlı yazılım, bu cüzdanlardan *tohum (seed) ifadeleri*, *özel anahtarlar* ve *oturum belirteçlerini* ele geçirerek şifreli biçimde dışarı sızdırıyor.
Saldırı, ‘GAPI_Update.exe’ adlı sahte bir Chrome güncelleme dosyası üzerinden başlıyor. Yaklaşık 60MB boyutundaki bu kurulum dosyası, Dropbox altyapısı kullanılarak dağıtılıyor ve çalıştırıldığında sistemde *meşru bir DLL dosyası* üretip izini gizlemeye çalışıyor. Ardından yaklaşık 420 saniye boyunca sahte bir ‘Windows güvenlik güncellemesi’ ekranı gösteriliyor. Kullanıcı bu ekranla meşgulken gerçek zararlı yük arka planda kuruluyor. Son aşamada, rastgele bir adla üretilen çalıştırılabilir dosya sisteme yerleşiyor ve tespiti zorlaştırıyor.
Veri hırsızlığı aşamasında ChaCha20 şifrelemesi ve HMAC-SHA256 doğrulaması bir arada kullanılıyor ve çalınan bilgiler Cloudflare altyapısı üzerinden iletiliyor. Araştırmacılar bu yapıyı, sıradan zararlılara kıyasla daha yüksek kalitede, *‘ticari seviye’* bir mimari olarak nitelendiriyor.
Saldırının en kritik kısmı, *728 farklı cüzdan uzantısının* hedeflenmesi. Bu durum, rastgele bir liste yerine, yaygın kullanılan tarayıcı cüzdanlarının özellikle seçildiğini gösteriyor. Trog Grabber, belirli kişileri tek tek hedef almıyor; bunun yerine ele geçirdiği her sistemde, yüklü olan cüzdan uzantılarını otomatik olarak tarayıp verileri topluyor. Aylık kullanıcı sayısı milyonları bulan MetaMask gibi cüzdanlar da bu yüzden doğal olarak başlıca hedefler arasında yer alıyor.
*Kendin saklama* kullanan yatırımcılar için risk özellikle yüksek. Tohum ifadelerini tarayıcı içinde, metin dosyalarında ya da basit parola yöneticilerinde saklayan kullanıcılar, tek bir enfeksiyonla tüm varlıklarını kaybedebilir. Borsalarda tutulan kripto paralar doğrudan bu zararlının hedefinde olmasa da, oturum belirteçlerinin ele geçirilmesi halinde hesaplara yetkisiz erişim riski ortaya çıkıyor.
Analiz sürecinde 40’tan fazla ‘operatör etiketi’ ve Telegram kimliği tespit edildi. Araştırmacılar, en az 8 operatörün Rusya merkezli siber suç ekosistemiyle bağlantılı olduğunu değerlendiriyor. Trog Grabber’ın bir *‘kötü amaçlı yazılım hizmeti (MaaS)’* modeliyle sunulması da dikkat çekici. Sisteme abone olan saldırganlar, kendi shellcode’larını ekleyerek saldırı kapsamını genişletebiliyor. Gen Digital, bu yapıyı “sofistike REST API tabanlı saldırı sistemi” olarak tanımlıyor.
Uzmanlara göre 728 cüzdan hedefi, sadece *mevcut anlık görüntüden* ibaret. MaaS modelinin doğası gereği, yeni operatörler katıldıkça hem hedeflenen cüzdan sayısının hem de saldırı senaryolarının hızla artması bekleniyor. Daha önce Vidar ve RedLine gibi info-stealer’ların benzer şekilde yayılıp geliştiği biliniyor. Trog Grabber ise bu modele daha gelişmiş bir altyapı eklenmiş yeni bir örnek olarak öne çıkıyor.
Kripto para piyasası büyüdükçe, tarayıcı cüzdanlarının sunduğu *kullanım kolaylığının* gölgesinde kalan *güvenlik riskleri* de aynı hızla büyüyor. Trog Grabber vakası, özellikle kendin saklama ortamlarında güvenlik hijyeninin artık isteğe bağlı bir tercih değil, *zorunlu bir gereklilik* olduğunu bir kez daha net biçimde ortaya koyuyor.
Yorum 0