Clipper kötü amaçlı yazılımı, kripto para birimi fonlarını ve hedeflenen cihazlardan kullanıcı verilerini çalmasıyla ünlüdür.
Kaspersky Labs’ın bulgularına göre, Doğu Avrupa ve Rusya’daki insanlar, sahte Tor tarayıcı yükleyicileri aracılığıyla tehdit aktörleri tarafından hedef alınıyor. Bu yükleyiciler, kripto para birimi işlemlerini çalmak için pano verilerini ele geçirebilir.
Tor tarayıcı, anonimlik ve mahremiyet arayanlar için en önemli öncelik olduğundan, en son dolandırıcılık şaşırtıcı olmamalıdır. Şubat 2023’te, gizlilik odaklı tarayıcı, acımasız bir dizi DDoS saldırısına maruz kaldığını ve siber suçluların ayrıca kullanıcı verilerini çalmak için kötü niyetli yükleyiciler dağıttığını ortaya çıkardı.
Truva Atlı Tor Tarayıcı Yükleyicilerine Dikkat Edin
Tor Anonymity Browser, tehdit aktörleri, kullanıcıların cihazlarına Clipper kötü amaçlı yazılımı bulaştırmak için tarayıcının truva atı haline getirilmiş sürümlerini dağıtırken, bir kez daha kötü niyetli amaçların hedefi haline geldi. Bu kötü amaçlı yazılım, kripto para birimini sifonlayabilir ve yıllarca uykuda kalabilir.
Kaspersky araştırmacısı ve APAC direktörü Vitaly Kamluk için küresel araştırma ve analiz ekibi (GReAT), kurbanın, saldırganın cüzdandan para çalmaya karar verdiği güne kadar herhangi bir ağ etkinliğinden veya “varlık belirtisinden” şüphelenmeyeceğini belirtti.
Kötü amaçlı işlevleri, pano verileri önceden tanımlanmış kriterleri karşıladıktan sonra tetiklenir. Bildirildiğine göre, operatörler Bitcoin, Litecoin, Ether ve Dogecoin dahil olmak üzere kripto para çalarak 40.000 $ kar elde ettiler.
Sahte Yükleyiciler Nasıl Dağıtılır?
Kaspersky araştırmacıları, bu sahte Tor tarayıcı kurulumlarının nasıl dağıtıldığından emin değil. Ancak, torrentlerin veya üçüncü taraf kaynakların sorumlu olabileceğine dair göstergeler var.
Yükleyici bir sisteme girdikten sonra yasal yürütülebilir dosyayı ve aynı zamanda Clipper kötü amaçlı yazılımını başlatır. Yük, pano içeriğini izlemeye başlar. Panoda metin içeriği varsa, Clipper bunu “bir dizi katıştırılmış normal ifadeyle” tarar; Kamulk, bir eşleşme bulunursa, bunun “sabit kodlanmış bir listeden” herhangi bir adresle değiştirildiğini belirtti.
Aslında, analiz edilen her örneğin rastgele seçilmiş ve özel bir kısayol tuşu kombinasyonu (Ctrl+Alt+F10) aracılığıyla kötü amaçlı yazılımı devre dışı bırakabilen binlerce değiştirme adresi vardı.
O nasıl çalışır?
Yükleyiciler, normal ancak eski bir Tor tarayıcısı ve parola korumalı, kendi kendine açılan bir RAR paketinin içine gizlenmiş başka bir uygulama içerir. Yükleyiciler, kullanıcıların bir dil seçmesine ve tor tarayıcı ru.exe gibi yerelleştirilmiş adlara sahip olmasına izin veren dil paketlerine sahiptir.
Clipper, arka planda çalışan arşiv tarafından çıkarılır ve yeni bir işlem olarak yürütülür. Ayrıca, sistemin otomatik başlatılması için kayıtlıdır, oysa varsayılan Tor tarayıcı önde çalışır. Kötü amaçlı yazılım, uTorrent simgesini kullanarak kendini başarıyla gizler.
Hedefler Kimler ve Neden?
The Tor Project’in arkasındaki ekip, bu kampanyanın Rusya’daki Tor tarayıcı yasağından yararlanmak için tasarlandığından şüpheleniyor. Günlük 300.000’den fazla ziyaretçiyle (Tor tarayıcı kullanıcılarının %15’i) küresel Tor kullanımı söz konusu olduğunda Rusya’nın en büyük ikinci ülke olduğunu belirtmekte fayda var.
Ancak Rus hükümeti 2021’de Tor web sitesini engelledi. Ayrıca, tehdit aktörleri genellikle Tor’un truva atı haline getirilmiş kurulumlarını hizmetin yasa dışı olduğu bölgelerdeki kullanıcılara dağıtır.
Kaspersky, çoğu Ukrayna ve Rusya’da kayıtlı olan yaklaşık 16.000 algılama kaydetti ve ardından Çin, Almanya, ABD, Beyaz Rusya, Birleşik Krallık, Hollanda, Özbekistan ve Fransa geldi. Genel olarak 52 ülkede tehditler bildirildi.
Tor tarayıcısına Rusya’da veya başka bir yerde erişemiyorsanız, bunun yerine Brave tarayıcıyı kullanmayı düşünün. Kullanıcıların, Tor ağ geçidini kullanarak doğrudan Brave tarayıcısından .onion etki alanlarına erişmesine olanak tanır.
ALAKALI HABERLER
- Tor ve En İyi 10 Alternatifi
- Tor tarayıcı aktarımlarının %23’ü Bitcoin çalıyor
- Kullanıcıları Dolandıran “Sahte Tor Tarayıcı Rodeo”
- Tor Tarayıcı için En İyi Karanlık Web Arama Motorları
- Dark Web Arama Motorları – Nasıl Bulunur?