Microsoft, son aylarda Windows işletim sistemine sahip bilgisayarları hedef alan ve kripto para cüzdanlarını riske atan yeni bir zararlı yazılım kampanyasını ortaya çıkardı. Şubat ayından bu yana etkisini sürdüren tehdit, USB bellekler aracılığıyla yayılırken kullanıcıların cüzdan bilgilerini ele geçirmeyi amaçlıyor.
Şirketin güvenlik araştırmacıları tarafından 'CryptoBandits' olarak tanımlanan zararlı yazılım, özellikle kripto para kullanıcılarını hedef alıyor. Yazılım, kurtarma ifadeleri (seed phrase), özel anahtarlar ve cüzdan adresleri gibi kritik bilgileri izleyerek saldırganlara aktarabiliyor.
Bulaşma Süreci USB Bellekteki Kısayol Dosyasıyla Başlıyor
Saldırının başlangıç noktası, enfekte edilmiş USB sürücülerde bulunan sahte kısayol dosyaları. Kullanıcı bu dosyalardan birini çalıştırdığında, sistem fark edilmeden zararlı yazılımı yükleyerek enfeksiyon sürecini başlatıyor.
Bilgisayara yerleşen yazılım, bir yandan kripto cüzdanlarına yönelik veri toplama faaliyetlerini sürdürürken diğer yandan yeni takılan USB bellekleri enfekte ederek yayılma alanını genişletiyor.
Pano Verileri Sürekli Takip Ediliyor
Araştırmaya göre zararlı yazılım, Windows'un kopyala-yapıştır işlemlerinde kullanılan pano verilerini saniyede birkaç kez kontrol ediyor. Kullanıcının kripto para cüzdanına ait kurtarma kelimelerini veya özel anahtarlarını kopyalaması halinde bu bilgiler saldırganların kontrolündeki sistemlere gönderiliyor.
Bunun yanında yazılımın belirli aralıklarla ekran görüntüleri aldığı ve bunları da uzaktaki sunuculara ilettiği belirtiliyor. Böylece saldırganlar kullanıcı faaliyetlerini daha yakından takip edebiliyor.
Kripto Transferlerinde Gizli Adres Değişikliği Yapabiliyor
Uzmanların dikkat çektiği en büyük risklerden biri ise kripto para transferleri sırasında ortaya çıkıyor. Kullanıcı bir alıcı cüzdan adresini kopyaladığında, zararlı yazılım bu adresi arka planda saldırganın kontrol ettiği başka bir adresle değiştirebiliyor.
Kullanıcı adres değişikliğini fark etmeden işlemi tamamladığında, gönderilen varlıklar gerçek alıcı yerine doğrudan saldırganın cüzdanına aktarılabiliyor. Bu yöntem, özellikle sık kopyala-yapıştır işlemi yapan yatırımcılar için ciddi bir tehdit oluşturuyor.
Temiz USB Sürücüler de Hedefte
Zararlı yazılım yalnızca mevcut sistemi etkilemekle kalmıyor, aynı zamanda yeni cihazlara da bulaşabiliyor. Enfekte bir bilgisayara takılan temiz USB sürücüler taranıyor ve içlerindeki belgeler, elektronik tablolar veya PDF dosyalarının yerine aynı isimleri taşıyan zararlı kısayollar oluşturuluyor.
Bu sayede enfekte edilen USB bellek farklı bir bilgisayarda kullanıldığında saldırı zinciri yeniden başlıyor.
Korunmak İçin Neler Yapılmalı?
Microsoft, kullanıcıların çıkarılabilir depolama aygıtlarında AutoRun özelliğini kapatmasını öneriyor. Ayrıca USB sürücülerdeki '.lnk' uzantılı dosyaların çalıştırılmasının sınırlandırılması ve betik çalıştırma araçlarının kontrol altına alınması tavsiye ediliyor.
Güvenlik uzmanları ise kripto para transferleri sırasında yapıştırılan cüzdan adreslerinin mutlaka manuel olarak doğrulanmasını, bilinmeyen USB belleklerin kullanılmamasını ve güncel güvenlik yazılımlarının aktif tutulmasını öneriyor.
Microsoft, güvenlik ekiplerinin ağlarında olası enfeksiyonları tespit edebilmesi amacıyla çeşitli ihlal göstergeleri ve teknik analiz verilerini de kamuoyuyla paylaştı.