Yeni bir pano korsanı, Discord topluluklarındaki güveni kötüye kullanarak oyuncuların ve yayıncıların kripto para birimini sessizce tüketiyor.
Kampanya, sözde akış veya güvenlik aracı olarak paylaşılan kötü amaçlı bir Windows programına odaklanıyor. Kurulduktan sonra sessizce kullanıcının panosunu izler ve kripto cüzdan adresini kopyalayacakları anı bekler.
Kurban parayı bir borsaya, cüzdana veya ödeme alanına yapıştırdığında, kötü amaçlı yazılım bunu saldırganın kontrolündeki bir adresle değiştirerek parayı belirgin bir iz bırakmadan yönlendiriyor.
“RedLineCyber” olarak takip edilen tehdit aktörü, oyun, kumar ve kripto para akışıyla bağlantılı Discord sunucularına odaklanıyor.
Sunucu üyeleriyle yakın ilişki kurarlar, kendilerini araç geliştiricileri olarak sunarlar ve Pro.exe veya peeek.exe adlı bir dosyayı özel olarak paylaşırlar.
Kurbanlara, aracın canlı oturumlar sırasında cüzdan adreslerini yönetmelerine veya korumalarına yardımcı olacağı, böylece şüpheli olmaktan çok faydalı görüneceği söylendi.
Bu dostane konuşmanın arkasında, yanlış yazılan tek bir macunla işlemleri sessizce boşaltabilen odaklanmış bir hırsızlık operasyonu var.
CloudSEK analistleri bu operasyonu yeraltı topluluklarını ve siber suçlular tarafından kullanılan Discord kanallarını izlerken ortaya çıkardı.
Bu insan istihbaratı operasyonları sırasında araştırmacılar sahte “RedLine Solutions” kişiliğini tespit etti ve kötü amaçlı yazılımın izini PyInstaller ile doldurulmuş Python tabanlı bir yürütülebilir dosyaya kadar sürdü.
Analizleri, programın klasik bilgi çalan kötü amaçlı yazılımlar gibi davranmadığını, bunun yerine etkinliğini tek bir göreve daralttığını doğruladı: popüler kripto para birimleriyle bağlantılı pano verilerini değiştirmek.
.webp)
Bu kampanyanın etkisi oldukça önemli çünkü kullanıcıları tam da insan ilgisinin en zayıf olduğu noktada hedef alıyor. Birçok yayıncı ve sık sık alışveriş yapanlar, her karakteri iki kez kontrol etmeden uzun cüzdan dizilerini kopyalayıp yapıştırıyor.
Komuta ve kontrol trafiği olmadan çalışan ve minimum sistem kaynaklarını kullanan kötü amaçlı yazılım, yüksek değerli aktarımları bekleyerek uzun süre aktif kalabilir.
Saldırganın gömülü cüzdan adresleriyle bağlantılı Blockchain izleri halihazırda Bitcoin, Ethereum, Solana, Dogecoin, Litecoin ve Tron’da çalınan fonları gösteriyor.
Enfeksiyon Mekanizması ve Pano Ele Geçirme Mantığı
Bir kurban Pro.exe’yi çalıştırdığında kötü amaçlı yazılım, Windows %APPDATA% dizini içinde CryptoClipboardGuard adında bir klasör oluşturur ve kendisini mevcut kullanıcının kayıt defterindeki Çalıştır anahtarına kaydeder.
Bu, sistem önyüklendiğinde otomatik olarak başlatılmasını ve görünür bir pencere olmadan arka planda kalmasını sağlar.
Yürütülebilir dosya, kendi Python çalışma zamanını ve gizlenmiş bayt kodunu bir araya getirerek Python’un kurulu olmadığı sistemlerde bile çalışmasını sağlar.
Daha sonra sıkı bir döngüye giriyor ve panoyu saniyede yaklaşık üç kez kontrol ediyor.
.webp)
Pano içeriği her değiştiğinde, kötü amaçlı yazılım onu büyük kripto para birimleri için cüzdan formatlarıyla eşleşen base64 kodlu normal ifadelere karşı tarar.
Geçerli bir adres tespit ederse, o kripto para için önceden ayarlanmış bir saldırgan cüzdanını hemen panonun üzerine yazar ve takası %APPDATA%\CryptoClipboardGuard içindeki bir Activity.log dosyasına kaydeder.
.webp)
Adres değişikliği kopyalama ve yapıştırma arasında gerçekleştiği için çoğu kurban, paraları yanlış cüzdana ulaşana kadar değişikliğin farkına varmaz ve o zamana kadar transfer geri alınamaz.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
