Haberler 
Coin Bilgisi 
Hakkımızda 
USB üzerinden yayılan yeni bir ‘kripto klipper’ saldırısı, Windows PC’leri enfekte ederek Bitcoin(BTC) ve Ethereum(ETH) cüzdan bilgilerini hedef alıyor. ‘USB bellek takıp bir dosyaya tıklamak’ kadar basit bir eylem, kripto varlıkların çalınmasına yol açabilecek seviyede risk taşıyor.
Microsoft, *kaynak: Microsoft Güvenlik Blogu, 24’ünde (yerel saatle)* yayımladığı teknik incelemede, USB depolama aygıtlarıyla yayılan ve şirketin antivirüs çözümleri tarafından ‘Trojan:Win32/CryptoBandits’ olarak işaretlenen zararlı yazılımı detaylandırdı. Söz konusu ‘kripto klipper’ kötü amaçlı yazılımın, özellikle Şubat ayından bu yana bireysel Windows kullanıcılarını hedef aldığı belirtiliyor.
Bulaşma süreci oldukça basit ilerliyor. Zararlı kod içeren USB belleklerde ‘.lnk’ uzantılı sahte ‘kısayol’ dosyaları bulunuyor. Kullanıcı bu dosyalardan birini, normal bir program ya da belge sandığı için çalıştırdığında, arka planda aslında zararlı yazılım devreye giriyor. Bu aşamada sisteme yerleşen ‘solucan (worm)’ benzeri bileşen, bilgisayarda kalıcı hale gelerek yayılmaya devam ediyor.
Kurulum tamamlandıktan sonra kötü amaçlı yazılım, Windows panosunu (clipboard) yaklaşık 0,5 saniyelik aralıklarla sürekli izliyor. Kullanıcı Bitcoin(BTC) veya Ethereum(ETH) cüzdanına ait özel anahtar ya da *seed* ifadesini kopyaladığında, bu hassas bilgiler anında çalınarak saldırganın sunucusuna iletiliyor. Veri aktarımı, anonimliğiyle bilinen ‘Tor’ ağı üzerinden gerçekleştiriliyor; aynı zamanda her 10 saniyede bir beş adet ekran görüntüsü de dışarı sızdırılıyor. ‘yorum: Kullanıcının ekranda gördüğü her şey fiilen saldırgana açık hale gelmiş oluyor.’
Tehdit bununla da sınırlı değil. Kullanıcı transfer yapmak için bir kripto para adresini kopyaladığında, zararlı yazılım bu adresi gizlice saldırgana ait cüzdan adresiyle değiştiriyor. Kullanıcı, kopyalayıp yapıştırdığı adresi genellikle tekrar kontrol etmediğinden, fonlar fark edilmeden doğrudan saldırganın hesabına gidebiliyor. ‘adres çevirme’ olarak bilinen bu teknik, özellikle kripto para transferlerinde ciddi kayıplara yol açabiliyor.
Saldırının tehlikesini artıran bir diğer unsur ise yeniden yayılma mekanizması. Enfekte bir PC’ye yeni bir USB bellek takıldığında, USB içindeki orijinal dosyalar görünürde aynı isimli ‘kısayol’ dosyalarıyla değiştirilerek bulaştırılıyor. Word, Excel, PDF gibi sıradan ofis belgeleri izlenimi veren bu kısayollar, kullanıcıyı şüphelenmeden tıklamaya yöneltiyor. Bu sayede tek bir enfeksiyon, kısa sürede çok sayıda USB bellek ve bilgisayara sıçrayabilen bir ‘zincirleme enfeksiyon yapısı’ oluşturuyor.
Microsoft, bu saldırı vektörüne karşı temel korunma adımlarını da paylaştı. Öncelikle taşınabilir bellekler için ‘otomatik çalıştır (AutoRun)’ özelliğinin kapatılması gerektiği vurgulanıyor. Ayrıca *grup ilkeleri* üzerinden USB içindeki .lnk dosyalarının çalıştırılmasının engellenmesi ve wscript.exe, cscript.exe gibi komut/komut dosyası yorumlayıcılarının kısıtlanması öneriliyor. Windows Defender kullanıcılarının, Tor proxy bağlantılarını (özellikle 9050 numaralı port) izleyerek şüpheli trafik tespiti yapabileceği ifade ediliyor.
Şirket, saldırılarda kullanılan dosya *hash* değerleri ve .onion uzantılı Tor alan adları gibi çeşitli saldırı göstergelerini (IOC) de yayımladı. Kurumsal güvenlik ekipleri bu göstergeler üzerinden iç ağ taramaları gerçekleştirerek olası sızıntıları daha erken tespit edebilecek.
Gündelik hayatta sık kullanılan USB belleklerin saldırı aracı haline gelmesi, *kripto para güvenliği* tarafındaki kırılgan noktaları yeniden ortaya koymuş durumda. Basit görünen bir dosya tıklamasının bile ciddi varlık kaybına dönüşebildiği bu ortamda, kullanıcıların temel siber güvenlik kurallarına uyması, bilinmeyen USB’leri kullanmaması, adres kopyalama-sonrası mutlaka karakter kontrolü yapması ve güncel güvenlik yazılımlarını devre dışı bırakmaması her zamankinden daha kritik hale geliyor.
Yorum 0