CoinDesk
Microsoft, Şubat ayından bu yana virüslü USB sürücüler aracılığıyla yayılan ve Windows tabanlı kripto cüzdanlarını ele geçiren bir kötü amaçlı yazılımı — "crypto clipper" olarak adlandırılan bir zararlıyı — kamuoyuna duyurdu. Defender tarafından Trojan:Win32/CryptoBandits olarak algılanan bu solucan, kötü amaçlı bir .lnk kısayolu üzerinden kuruluyor, arka planda çalışıyor ve döngüyü tekrarlamak için yeni takılan USB'leri bekliyor.
Makineye bir kez girdiğinde, cüzdan çalan bileşen Windows panosunu yaklaşık her 500 milisaniyede bir yoklayarak Bitcoin ve Ethereum cüzdanlarına bağlı seed ifadelerini ve özel anahtarları gözlüyor. Aktarım aşamasına geçildiğini algıladığında, kötü amaçlı yazılım alıcı adresini sessizce saldırganın kontrolündeki bir adresle değiştiriyor; böylece rutin bir kopyala-yapıştır işlemi, hiçbir görsel ipucu olmadan parayı yanlış cüzdana yönlendirebiliyor. Ele geçirilen pano verileri, operatörün konumunu gizlemek için on saniye arayla çekilen beş ekran görüntüsüyle birlikte Tor ağı üzerinden sızdırılıyor.
Yayılma mekanizması, kampanyaya kalıcılık kazandıran unsur. Temiz bir USB sürücü zaten virüslü bir bilgisayara takıldığında, solucan sıradan belgeleri — Word dosyaları, Excel sayfaları ve PDF'leri — tarıyor, sonra her birini aynı adı taşıyan ve enfeksiyon zincirini yeniden çalıştıran bir kısayolla değiştiriyor. Orijinal belgeler görüş alanının dışına itiliyor ve sürücü başka bir makineye ulaştığında döngü yeniden başlıyor.
Neden önemli
CryptoBandits karma bir tehdit: tek bir paket içinde bir hırsız, bir pano ele geçirici ve kendi kendini yayabilen bir solucan. Çoğu cüzdan çalan kötü amaçlı yazılım, oltalama sayfaları veya kötü amaçlı tarayıcı eklentileri yoluyla geliyor; dikkatli bir kullanıcı tuzağı çoğu zaman fark edebiliyor. USB kaynaklı bir solucan bu ön kapıyı tamamen atlıyor ve fiziksel medyayı teslimat aracına dönüştürüyor — Microsoft'un alışılmadık davranış olarak işaretlediği şey tam da bu.
Canlı adres değiştirme, tasarımın daha tehlikeli yarısı. Geleneksel pano hırsızları seed ifadelerini ve özel anahtarları kaydedip kullanıcının yarışabilecekleri bir işlem yapmasını bekler. CryptoBandits ise hedef adresi gerçek zamanlı olarak yeniden yazıyor; bu da yapıştırdıktan sonra adresi iki kez kontrol eden bir kullanıcının bile orijinal kopyaladığı adresi değil, saldırganın dizesini görmesi anlamına geliyor.
Sıkça sorulan sorular
-
Trojan:Win32/CryptoBandits nedir ve ne yapıyor?
Microsoft tarafından adlandırılan, virüslü USB sürücüler üzerinden yayılan bir kripto klipper solucanıdır; Windows panosunu cüzdan seed ifadeleri ve özel anahtarlar için izler, kripto transferleri sırasında alıcı adreslerini sessizce değiştirir.
-
Kötü amaçlı yazılım bir cüzdandan kriptoyu nasıl çalıyor?
Kurulduktan sonra panoyu yaklaşık her 500 milisaniyede bir Bitcoin ve Ethereum cüzdanlarına bağlı seed ifadeleri ve özel anahtarlar için yoklar, verileri Tor üzerinden sızdırır ve kullanıcı yapıştırmadan önce kopyalanan alıcı adresini saldırganın kontrolündeki bir adresle yeniden yazar.
-
Solucan bir makineden diğerine nasıl yayılıyor?
USB sürücüler aracılığıyla yayılıyor: temiz bir sürücü virüslü bir bilgisayara takıldığında, solucan sıradan belgelerin — Word, Excel, PDF — yerine aynı adı taşıyan ve enfeksiyon zincirini yeniden çalıştıran .lnk kısayollarını koyuyor. Orijinaller gizleniyor ve sürücü başka bir makineye ulaştığında döngü tekrarlanıyor.
-
CryptoBandits ne zamandan beri aktif?
Microsoft, kötü amaçlı yazılımın Şubat ayından bu yana virüslü USB sürücüler aracılığıyla Windows kullanıcılarının kripto cüzdanlarını hedef alarak yayıldığını söyledi.
-
Kullanıcılar ve güvenlik ekipleri CryptoBandits'a karşı nasıl savunabilir?
Microsoft, çıkarılabilir medya için AutoRun'ın devre dışı bırakılmasını, Grup İlkesi aracılığıyla USB sürücülerde .lnk dosyası yürütülmesinin engellenmesini, wscript.exe ve cscript.exe gibi betik ana bilgisayarlarının kısıtlanmasını, 9050 portunda yerel Tor proxy bağlantıları için Defender telemetrisinin izlenmesini…
Crypto News
WuBlockchain
TheBlock
Lookonchain
CoinTelegraph