Microsoft, USB bellekler aracılığıyla yayılan ve kripto para cüzdan bilgilerini çalarak saldırganlara gönderen yeni bir zararlı yazılım keşfetti. 'Crypto Clipper' adı verilen bu solucan benzeri yazılım, cihazların panolarındaki (clipboard) kripto para cüzdan adresleri veya kurtarma cümleleriyle eşleşen kalıpları izleyerek çalışıyor.
Tespit edildiğinde, zararlı yazılım aynı zamanda 10 saniye içinde beş ekran görüntüsü alıyor. Hem ele geçirilen bilgiler hem de ekran görüntüleri, anonim yönlendirme sağlayarak trafik gönderen ve alan IP adreslerini gizleyen bir ağ protokolü olan Tor aracılığıyla saldırganların kontrolündeki sunuculara gönderiliyor. Crypto Clipper, Tor bağlantısını, trafiği bir proxy sunucusu aracılığıyla ileten ve ardından son hedefe yönlendiren bir ağ protokolü olan SOCKS5 proxy kullanarak kuruyor.
Hafif Bir Arka Kapı Yazılımı
Microsoft'un açıklamasına göre, bu clipper yazılımının çalıştırılma şekli dikkat çekici çünkü geleneksel bir yükleyiciye veya açık IP tabanlı komuta kontrol altyapısına dayanmıyor. Bunun yerine, taşınabilir bir Tor istemcisi konuşlandırıyor, trafiği yerel bir SOCKS5 proxy üzerinden yönlendiriyor ve veri hırsızlığını uzaktan kod yürütmeyle birleştirerek finansal amaçlı bir hırsızlık aracını hafif bir arka kapı yazılımına dönüştürüyor.
Microsoft, Crypto Clipper'ın bir USB bellek üzerindeki '.lnk' dosyaları aracılığıyla yayıldığını gözlemledi. Bu dosyalar çalıştırılabilir kod içeriyor. Enfekte bir USB bellek bir cihaza takıldığında, kod makineye zaten yüklü olup olmadığını kontrol ediyor. Eğer yüklü değilse, zararlı yazılım Tor proxy aracılığıyla indiriliyor. Solucanın izlerini gizlemek için, zararlı yazılım enfekte USB belleği tarıyor ve '.lnk' dosyalarını benzer isimlerle adlandırıyor.
Crypto Clipper, pano içeriklerini standartlaştırılmış 12 veya 24 kelimelik kurtarma cümleleriyle tutarlı kalıplar için izliyor. Bu kalıplar bulunduğunda, ekran görüntüleriyle birlikte saldırganın sunucusuna yükleniyor. Hırsızlık yazılımı ayrıca bulduğu adresleri saldırgan kontrolündeki cüzdanlara ait adreslerle değiştiriyor. Bu sayede zararlı yazılım, ödemeleri saldırganın hesabına yönlendirebiliyor. Microsoft, ekran görüntülerinin faydalı olabilecek bağlamı sağlamak amacıyla alındığına inanıyor.
Microsoft, bu zararlı yazılım ailesinin, hafif, betik tabanlı hırsızlık araçlarının anonimleştirilmiş iletişim ve çalışma zamanı görevlendirmeyle birleştiğinde ne kadar büyük bir etki yaratabileceğini gösterdiğini belirtiyor. Tor üzerinden yönlendirilen komuta kontrol, pano hedeflemesi, ekran görüntüsü yakalama ve uzaktan kod yürütme kombinasyonu, saldırganlara hem anında para kazanma yolları hem de ele geçirilen cihazlar üzerinde devam eden kontrol sağlıyor.
Microsoft Defender for Endpoint, Crypto Clipper bileşenlerini Şüpheli JavaScript işlemleri ve Curl kullanarak Olası Veri Sızdırmaları olarak tespit ediyor. Microsoft Defender Antivirus ise bunu Trojan: Win32/CryptoBandits.A olarak tanımlıyor. Daha genel olarak, enfeksiyonun en güçlü belirtileri arasında şüpheli alt süreçleri başlatan betik yorumlayıcıları, localhost:9050 üzerindeki proxy kullanımı, PowerShell'de ekran yakalama komutları ve pano denetimi veya kripto adres değiştirme işaretleri yer alıyor.
