Bitcoin Hırsızları Gözünü Kullanıcıların Birikimlerine Dikti

Kaspersky Lab araştırmacıları, cihazın panosundaki adresi değiştirerek kullanıcıların cüzdanlarından kripto para birimi çalan yeni bir zararlı yazılım keşfetti. Suçlular; Bitcoin, Ethereum, Zcash, Dash, Monero ve diğer popüler kripto para birimlerini hedef alıyor. Elde edilen verilere göre, suçlular toplamda yaklaşık 140.000 dolar kazandı. Ek olarak, uzmanlar Monero madenciliği için tasarlanmış yeni bir Truva Atı’nın örneklerini de buldu.

Kripto para birimlerine olan ilgi tüm dünyaya yayılırken, bu alan siber suçlular için de hızla çekici bir hedef haline geliyor. Kaspersky Lab araştırmacıları, binlerce bilgisayarı etkileyerek yüz binlerce dolar değer ortaya çıkaran madencilerdeki yükselişi tespit etmişti. Buna ek olarak uzmanlar, suçluların daha az gelişmiş teknikler kullanmaya başladığını ve bu alana daha az zaman ve kaynak ayırdıklarını fark etti. Yapılan araştırmaya göre, 2014’ten beri sayıları artan kripto para birimi hırsızları, kullanıcıların birikimlerini yeniden risk altında bırakmaya başladı.

Kaspersky Lab araştırmacıları, kullanıcıların kripto para birimi cüzdanlarına sızdıkları cihazın panosunda bulunan (kısa süreli veri depolama için kullanılan bir yazılım aracı) adreslerini değiştirecek şekilde tasarlanmış yeni bir CryptoShuffler Truva Atı keşfetti. Kullanıcıları zararlı web sitelerine yönlendiren ve çevrim içi ödeme sistemlerini hedef alan pano ele geçirme saldırıları yıllardır biliniyor. Ancak, bu tür saldırıların kripto para birimlerini hedef almasına çok sık rastlanmıyor.

Birçok kripto para biriminde, kullanıcı kripto paralarını başka bir kullanıcıya aktarmak isterse, alıcının cüzdanına özgü çok haneli kimlik numarasını bilmesi gerekiyor. CryptoShuffler, sistemin bu numaralarla çalışma ihtiyacını suistimal ediyor.

CryptoShuffler Truva Atı çalışmaya başladıktan sonra, kullanıcıların ödeme yaparken faydalandığı panoyu izlemeye başlıyor. Kopyalanan cüzdan numaralarının, işlemi yürüten yazılımdaki “hedef adres” satırına yapıştırılması gibi işlemleri de takip ediyor. Truva Atı, kullanıcının cüzdanını zararlı yazılıma ait bir cüzdanla değiştiriyor. Kullanıcı cüzdanın kimlik numarasını adres satırına yapıştırdığında aslen para göndermek istediği adresi girmiş olmuyor. Bunun sonucunda kurban, anlık değişimi fark etmediyse parasını doğrudan suçlulara aktarmış oluyor.

Blockchain’de kullanılan çok haneli sayıları ve cüzdan adreslerini hatırlamak çok zor olduğundan yapılan değişiklik genellikle fark edilmiyor. Kullanıcının gözleri önünde gerçekleşse de, işlem satırındaki farklılıkları tespit etmek epey güç.

Panodaki adres değişikliği anında oluyor. Cüzdan adresini arama kolaylığı sunmak için, birçok kripto para birimi cüzdanının işlem satırı sabit bir pozisyona sahip ve her zaman belirli sayıda karakter kullanılıyor. Bu sayede sisteme izinsiz giriş yapan kişiler, orijinalinin yerini alan rastgele kodları kolaylıkla oluşturabiliyorlar. Yapılan araştırmaya göre CryptoShuffler; Bitcoin, Ethereum, Zcash, Dash, Monero ve diğer popüler kripto para birimleriyle çalışıyor.

Kaspersky Lab araştırmacılarının şimdiye kadar yaptığı gözlemler neticesinde, CrytpoShuffler truva atı Bitcoin cüzdanlarına yönelik saldırılarda büyük oranda başarılı oldu. CrytpoShuffler’ın arkasındaki suçlular 23 BTC (yaklaşık 140.000 ABD Doları) çalmayı başardı. Diğer cüzdanlardan çalınan miktarlar ise birkaç dolardan binlerce dolara kadar değişiyor.

Kaspersky Lab Zararlı Yazılım Analisti Sergey Yunakovsky, “Kripto para birimleri artık uzak bir teknoloji değil. Günlük hayatımıza giren, tüm dünyaya yayılarak kullanıcıların daha rahat erişebildiği bir teknolojiye dönüşen kripto para birimleri, suçlular için de daha çekici hale geliyor. Son dönemde farklı kripto para birimlerine yönelik zararlı yazılım saldırılarında artış gözlemliyoruz ve bu eğilimin devam etmesini bekliyoruz. Bu nedenle, yakın zamanda kripto para birimlerine yatırım yapmayı düşünen kullanıcılar düzgün bir şekilde korunduklarından emin olmalı” şeklinde konuştu.

Uzmanlar ayrıca, Monero kripto para birimini hedef alan DiscordiaMiner adında bir Truva Atı keşfetti. DiscordiaMiner uzak bir sunucuya dosya yükleyip bu dosyaları çalıştırıyor. Bu yeni truva atı, sene başında keşfedilen NukeBot ile performans açısından benzerlik gösteriyor. NukeBot’un kaynak kodları gizli hack forumlarında paylaşılmıştı.

Kullanıcılara, önde gelen Kaspersky Lab çözümlerinde yer alan Safe Money özelliği gibi finansal işlemleri koruma altına alma odaklı işlevlere sahip, sağlam güvenlik çözümlerini kurmalarını tavsiye ediyoruz. Safe Money özelliği daha kapsamlı güvenlik sunmak için, siber suçlular tarafından kullanıldığı bilinen zafiyetleri tarar, özelleştirilmiş zararlı yazılımları sürekli kontrol eder, Protected Browser teknolojisinin yardımıyla işlemlere izinsiz girişleri engeller ve kopyala/yapıştır yaparken hassas verilerin saklandığı panoları özellikle koruma altına alır.