Geçersiz TOR Browser Yüklemeleri Kripto Para Çalıyor
ToR tarayıcı yüklemesi kılığında hazırlanan Trojanlı yükleyiciler, Eylül 2022’den bu yana Rusya ve Doğu Avrupa’daki kullanıcıları kripto para ünitelerini çalmak için tasarlanmış Clipper berbat gayeli yazılımıyla amaç alıyor.
Kaspersky’nin Asya Pasifik’teki global araştırma ve tahlil grubu (GReAT) yöneticisi Vitaly Kamluk, “Panoyu etkileyen zararlılar yıllar boyunca sessiz kalabilir, rastgele bir kuşkulu ağ aktifliği yahut var olduklarına dair öteki hiçbir işaret göstermeyebilirler, fakat bir kripto cüzdan adresini değiştirdikleri ana kadar beklerler” dedi.
Clipper berbat hedefli yazılımının öbür bir dikkat cazip özelliği; makus gayeli işlevlerinin panoya kopyalanan bilgiler makul bir kriteri karşılamadığı sürece rastgele bir formda tetiklenmemesi yahut çalışmaması. Bu sayede tespit etmek çok daha sıkıntı hale geliyor.
Sahte Tor heyetim evraklarının nasıl yayıldığı ise belirli değil fakat son yıllarda Rusya’da Tor Projesi’nin resmi web sitesi engelli olduğu için, kullanıcılar Torrent yahut bilinmeyen üçüncü taraf kaynakları kullanmaya mecbur kalıyor. Tahminen ziyanlı da buralardan yayılmıştır denilebilir.
İlgili ziyanlı belgeler çalıştırıldığında olağan Tor Browser konseyimi başlarken tıpkı anda panoyu takip etmek için geliştirilmiş Clipper zararlısı da sisteme bulaşmış oluyor. Şayet panoda bir içerik varsa ilgili içeriğin makul bir kuralı karşılayıp karşılamadığına bakılıyor. Bu kural içeriğin kripto para adresi olup olmadığına dair eklenmiş bir regex. Kripto para adresi ise, daha evvelden belirlenmiş bir listedeki saldırgan adresiyle değiştiriliyor.
Ayrıca analistler, makus emelli yazılımın özel bir kısayol tuşu kombinasyonuyla (Ctrl+Alt+F10) devre dışı bırakma yeteneğine sahip olduğunu da tespit etti. Muhtemelen bunun da test esnasında unutulduğu düşünülüyor.
Rus siber güvenlik firması, çoğunluğunun Rusya ve Ukrayna’da kaydedildiği yaklaşık 16.000 sistemin etkilendiğini ve bunu ABD, Almanya, Özbekistan, Belarus, Çin, Hollanda, İngiltere ile Fransa’nın izlediğini belirtti. Toplamda ziyanlı yazılım 52 ülkede görüldü.