Tehdit aktörleri, kripto para birimi hesaplarından para çalan ve bunu yasa dışı cüzdanlarına aktaran pano-enjektör kötü amaçlı yazılımlarını dağıtmak için The Onion Router (Tor) tarayıcısı için Trojanlaştırılmış yükleyiciler kullanıyor.
Etkinliği en az Ocak 2022’den beri izleyen Kaspersky araştırmacıları, tehdit aktörlerinin çoğunlukla Aralık 2021’de Tor’un resmi sitesine erişimi engelleyen bir ülke olan Rusya’daki kullanıcıları hedef aldığını belirledi. uzak, çoğu Rusya ve Doğu Avrupa’daydı. Ancak araştırmacılar şimdiye kadar ABD, Almanya, Hollanda, Çin ve Birleşik Krallık da dahil olmak üzere dört düzineden fazla ülkede tehdidi tespit etti.
Sessiz Hırsızlık
Kaspersky’nin analizi, kampanyanın arkasındaki tehdit aktörlerinin şu ana kadar silahlı Tor yükleyicisini indiren kullanıcılara ait kripto cüzdanlarından yaklaşık 400.000 dolar çaldığını gösterdi. Ele geçirilen hesapların neredeyse tamamı — %90’dan fazlası — Bitcoin hesaplarıydı ve bunu LiteCoin izledi.
Kaspersky bu hafta yayınladığı bir raporda, “Gerçek resmin yalnızca bir kısmını gördüğümüz göz önüne alındığında, küresel enfeksiyon sayısı pekala birkaç hatta onlarca kat daha yüksek olabilir.”
Bir pano korsanı olarak da bilinen kötü amaçlı pano enjektörü, bir kullanıcının panosunun içeriğini yakalar ve kötü amaçlı kod veya içerikle değiştirir. Bu kötü amaçlı yazılım türü yeni değil, en az on yıldır var. Son birkaç yılda, siber suçlular genellikle kötü amaçlı yazılımı bir kullanıcının panosundaki kripto para cüzdanı bilgilerini kendi kripto bilgileriyle değiştirmek ve ardından kurbanın cüzdanından kendi cüzdanlarına para aktarmak için kullandılar.
Kaspersky, görünüşte basit olmasına rağmen, pano enjektör araçlarını tespit etmenin ve kullanmanın zor olabileceğini söyledi. Harici bir sistemle iletişim kurmak, açılır pencerelere neden olmak veya virüs bulaşmış bir sistemi yavaşlatmak gibi tipik kötü amaçlı yazılımlarla ilişkili daha belirgin davranışların hiçbirini sergilemezler. Genellikle yasal pano etkinliğiyle karışırlar ve kötü amaçlı yazılımın değiştirdiği herhangi bir verinin, olayların normal seyri sırasında panodaki verilerin üzerine ne sıklıkla yazıldığı nedeniyle algılanması zor olabilir.
“[Clipboard injectors] Kaspersky, “Bir kripto cüzdan adresini değiştirdikleri felaket güne kadar yıllarca sessiz kalabilir, ağ etkinliği veya başka herhangi bir varlık belirtisi göstermeyebilir” dedi.
Yeni Dağıtım Vektörü
Tehdit aktörleri şimdiye kadar pano korsanlarını dağıtmak için genellikle kimlik avı e-postaları, kötü amaçlı web siteleri ve diğer kötü amaçlı yazılımları kullandı.
Onu silahlı Tor yükleyicileri aracılığıyla dağıtma kampanyası, Kaspersky’ye göre Rusya’nın tarayıcıya erişimi yasaklama hareketinden ilham almış olabilir.
Tor, trafiklerini dünya çapında gönüllüler tarafından işletilen sunuculardan oluşan bir ağ üzerinden yönlendirerek bireylere İnternet’te anonim olarak gezinmeleri için bir yol sunar. Siber suçlular dışında, sık Tor kullanıcıları arasında insan hakları faaliyetleri, gazeteciler ve sansür ve gözetlemeyi atlatmak isteyenler yer alır. Tor daha önce Rusya’yı günlük 300.000’den fazla Tor kullanıcısı olan bir ülke olarak tanımlamıştı.
Kaspersky’ye göre tehdit aktörleri, ülkenin erişimi engelleme hamlesinden kısa bir süre sonra, Aralık 2021’de Rusça konuşan kullanıcılara Trojanlaştırılmış Tor paketleri dağıtmaya başladı. Paketler tipik olarak geçerli bir Tor Projesi dijital imzasına sahip orijinal torbrowser dot exe yükleyicisinden, RAR arşiv formundaki rastgele adla bir komut satırı çıkarma aracından ve parola korumalı bir RAR arşivinden oluşur.
Bir kullanıcı silahlı Tor tarayıcı paketini indirdiğinde, orijinal torbrowser yürütülebilir dosyası ön planda çalışır. Arka planda, parola korumalı RAR arşivindeki ayıklama aracını da çalıştırır ve bu araç, kurban sisteme yüklenen pano enjektörü kötü amaçlı yazılımıyla sona eren bir dizi eylemi harekete geçirir.
Kötü amaçlı yazılımın yazarları, muhtemelen kötü amaçlı yazılımı paketlemek ve tespit edilmesini zorlaştırmak için piyasada satılan bir yazılım koruyucusu olan Enigma’nın kırık bir sürümünü kullanmışlardır.
Kaspersky, “Kötü amaçlı yazılım yüklendikten sonra Windows pano görüntüleyicileri zincirine entegre olur ve pano verileri her değiştirildiğinde bir bildirim alır” dedi.
Kötü amaçlı yazılım panoda kripto para bilgisi tespit ederse, içeriği Bitcoin veya başka bir kripto para birimi için saldırgan tarafından kontrol edilen bir adresle değiştirir. Güvenlik sağlayıcısı, kötü amaçlı yazılımın çeşitli örneklerini analiz eden Kaspersky araştırmacılarının, her örneğin binlerce yedek adres içerdiğini bulduğunu ve bu durumun savunucuların bir reddetme listesi oluşturmasını veya kripto para hırsızlığını izlemesini zorlaştırdığını söyledi.
Devam eden kampanya, kötü amaçlı yazılım yazarlarının Tor’un Rusya’daki popülaritesini kullanarak oradaki kullanıcıları kripto para birimi hırsızlığı için hedef aldığı ilk sefer değil. 2019’da ESET, Tor tarayıcısının Trojanlaştırılmış bir sürümünü içeren bir Bitcoin çalma kampanyası gözlemledi. Güvenlik satıcısının araştırması, kampanyadaki saldırganların sahip olduğu bazı Bitcoin adreslerinin en az 2017’den beri aktif olduğunu gösterdi.