Microsoft, Şubat ayından itibaren USB bellekler üzerinden yayılan ve Windows kullanıcılarını hedef alan yeni bir zararlı yazılım keşfettiğini duyurdu. Şirket, bu yazılımı “crypto clipper” olarak adlandırdı ve Microsoft Defender Antivirus tarafından Trojan:Win32/CryptoBandits olarak izlendiğini belirtti.
Microsoft, zararlı yazılımın pano verilerini düzenli olarak izlediğini ve özel anahtar, seed phrase gibi bilgileri topladığını açıkladı.
Zararlı Yazılımın Çalışma Prensibi
Saldırı, USB sürücüsünde bulunan kötü amaçlı .lnk uzantılı dosya ile başlıyor. Kullanıcı bu kısayola tıkladığında, zararlı yazılım bilgisayara yükleniyor. Yazılım, kullanıcıların kripto cüzdanlarından veri toplama işlemini sürekli olarak gerçekleştiriyor. Aynı zamanda, temiz bir USB aygıt takıldığında onun da bulaşmasını sağlayarak farklı cihazlara yayılıyor.
Microsoft, kullanıcıların transfer işlemi için bir adres kopyaladığında, bu adresin saldırgan tarafından farklı bir adresle değiştirilebildiğini ifade etti.
Hedeflenen Önemli Veriler
Zararlı yazılım, panoyu kısa aralıklarla kontrol ederek, kullanıcılar seed phrase veya özel anahtar kopyaladığında bu verileri ele geçiriyor. Aynı zamanda, 10 saniye aralıklarla ekran görüntüleri alarak bunları da saldırganlara iletiyor. Bu durum, kullanıcıların fark etmeden yanlış adreslere para göndermesi gibi ciddi güvenlik sorunlarına yol açabiliyor.
Transfer adreslerinin değiştirilmesi, dikkat edilmesi gereken en kritik risktir. Bu tür saldırılar, işlemler görünür bir değişiklik olmadan yapılan yanlış adreslere gitmesine neden olabilir. Güvenli bir transfer için kullanıcıların, her adımda adresleri iki kez kontrol etmeleri önem taşıyor.
Yayılma Yöntemlerini Önleme
Zararlı yazılımın yayılmasında, bulaşıldığı bilgisayara takılan temiz USB sürücüler etkin bir rol oynuyor. Yazılım, USB’deki normal dosyaları tarıyor ve onların yerine sahte kısayol dosyaları ekleyerek aynı isimle cihazı bulaştırıyor. Bu teknikle, kullanıcılar dosyaların değiştiğini fark etmeyebilir ve yeni cihazlara bulaşma riski artar.
Bu tür yayılma yöntemlerini önlemek için, kullanıcıların kısa yol dosyalarına tıklamamaları ve cihazlarına yeni bir USB bellek taktıklarında dikkatli olmaları öneriliyor. Otomatik çalıştırma özelliğinin devre dışı bırakılması, yayılma şansını azaltacaktır.
Microsoft’un Güvenlik Önerileri
Microsoft, çıkarılabilir medya için AutoRun özelliğinin kapatılması gerektiğini belirtti ve .lnk dosyalarının çalıştırılmasının engellenmesini tavsiye etti. Şirket ayrıca, ağ yöneticilerinin sistemlerini bu tür tehditlere karşı düzenli olarak taramaları gerektiğini ifade etti. Komuta kontrol sunucularıyla ilişkili .onion alan adlarını izlemek de önerilen bir başka önlem.
Güçlü bir güvenlik önlemi olarak, Microsoft Defender kullanıcılarının, yerel Tor vekil sunucusuna yapılan bağlantıları izlemesi önerildi. Bu tür uyarılar, potansiyel bir tehdidi erken aşamada tespit etmek için kritik olabilir.
