Kripto para işlemleriyle uğraşan bireyleri hedeflemek için özel olarak tasarlanmış yeni Clipper kötü amaçlı yazılım çeşitleri ortaya çıktı.
Bu işlemler sırasında, bu varyantların, kullanıcıların kimlik bilgilerini dolandırıcıların cüzdan adresleriyle başarılı bir şekilde değiştirdiği ve aktarılan fonlarla yasa dışı bir şekilde kaçmalarına izin verdiği kaydedildi.
Clipper kötü amaçlı yazılım varyantları, üzerine yapıştırılan verileri kopyalamak için panoyu kullanır. Kullanıcılara, cüzdan adresi de dahil olmak üzere kopyalanmış kripto cüzdanı kimlik bilgilerini panoda bırakmamaları önerilir.
Clipper kötü amaçlı yazılım varyantları hakkında ayrıntılar
Cyble Research and Intelligence Labs (CRIL), siber suçluların Telegram kanalında reklamı yapılan birkaç Clipper kötü amaçlı yazılım çeşidi buldu.
Bu varyantlar, diğerleri arasında Atlas kesme makinesi, Keyzetsu kesme makinesi ve KWN kesme makinesini içeriyordu. Kullanıcılar muhtemelen kimlik avı e-postaları yoluyla bu kampanyaya çekiliyor.
Atlas clipper kötü amaçlı yazılım çeşidi
Atlas Clipper, yedi kripto cüzdan adresini depolama kapasitesine sahipti ve daha önce ücretlendirilen 100 $’dan 50 $’a indirilmiş bir maliyetle teklif edildi.
Bir Telegram kanalındaki komut ve kontrol sunucusundan komutlar alır. Bu kesme makinesi varyantının reklamı, gerekirse veya hileli kripto para birimi işlemi tamamlandıktan sonra kendini silebileceğini okudu.
Araştırmacılar aşağıdaki örnek hash’i (SHA256) analiz ettiler – dabc19aba47fb36756dde3263a69f730c01c2cd3ac149649ae0440d48d7ee4cf. Go programlama dilinde uyumlu, 64 bitlik bir ikili yürütülebilir dosyaydı.
Kırpma makinesi varyantları, belirli işlevleri gerçekleştirmek için aşağıdaki komutları yürütür.
- OpClipboard() işlevi – Kırpma işlemini başlatmak ve pano verilerine erişmek için.
- GetClipboardFormatAvailable() işlevi – Pano değerini almak ve kripto para birimi cüzdan adresinin biçimini kontrol etmek için.
- SetClipboardData() işlevi – Kontrolden olumlu sonuçlar bulduktan sonra, kötü amaçlı yazılım kesme aracı panodaki değeri yeni bir değerle değiştirir.
- CloseClipboard() işlevi – Pano değerinin kötü niyetle değiştirilmesinden sonra panoyu serbest bırakmak için.
Yukarıdaki adımların ardından, Atlas kesme değişkeni yürütülebilir dosyayı siler ancak arkasındaki suçlular tarafından istenen daha fazla dolandırıcılık işlemi için sistemde kalmaya devam eder.
Bu işlemde, hedeflenen kullanıcının bilgileri Clipper kötü amaçlı yazılımı tarafından Telegram botuna gönderilir. Kötü amaçlı yazılım, cüzdan adresinin yanı sıra diğer verilerin yanı sıra kullanıcı adını, donanım kimliğini (HWID) ve yükleme yolunu da çalar.
Keyzetsu Clipper kötü amaçlı yazılım çeşidi
Clipper kötü amaçlı yazılımının Keyzetsu çeşidi, 12’den fazla kripto para birimi cüzdan adresini saklayabilir ve ayrıca C2 sunucusu için bir Telegram kanalına güvenir. 32 bit yürütülebilir dosyası .NET’te derlendi ve gizlendi.
Keyzetsu varyantının başlangıçta Uyku işlevi kullanılarak uyuduğu bulundu. Araştırmacılar bunun tespitten kaçmak için olduğunu analiz ettiler.
Keyzetsu, “2ILdX2JpexVZieT6mPv2i6Jp3HNFPlby” adlı bir muteks aracılığıyla sistemdeki benzer kötü amaçlı yazılım varyantlarını arar. Bu, bir sistemde kötü amaçlı yazılımın yalnızca tek bir örneğinin çalıştırılmasına yardımcı olur.
Bu varyant ayrıca Atlas Clipper kötü amaçlı yazılımı gibi pano verilerini de arar. Burada, siber suçlunun cüzdan adresi bir Base64 kodlaması ve Gzip sıkıştırması ile şifrelenmiş ve kötü amaçlı yazılım dosyası içinde sabit kodlanmıştır.
KWN Clipper kötü amaçlı yazılım çeşidi
Has 7bd03cdf8339f0305d41cad6d3156610517160a116ffd8a4f77e91f56f43ec2e, KWN Clipper kötü amaçlı yazılım varyantının işleyişini anlamak için araştırmacılar tarafından seçildi.
Go dilinde 64 bit yürütülebilir bir dosyaydı. Bu varyant, sahte işlemler gerçekleştirmek için pano bilgilerine de erişti.
Clipper kötü amaçlı yazılım varyantları yoluyla siber saldırıları önlemeye yönelik hafifletme çabaları ve önlemler
Araştırmacılar, Clipper kötü amaçlı yazılımının Coinminer, hırsızlar ve yükleyiciler dahil olmak üzere diğer kötü amaçlı yazılımlarla birlikte çalıştığını belirtti.
CRIL araştırmacıları, benzer kötü amaçlı yazılım saldırılarına karşı güvenliği sağlamak için aşağıdaki noktalardan bahsetti:
- Kripto para cüzdan verilerini göndermeden önce kaynağın gerçekliğini kontrol edin.
- Parolaları düzenli olarak değiştirin ve 12 karakterden kısa olmayan güçlü bir parola kullanın.
- OTP’ler ve çok faktörlü kimlik doğrulama dahil olmak üzere yüksek güvenlikli oturum açma işlemlerini tercih edin.
- Yazılımı otomatik olarak güncellemek için yazılım güncelleme seçeneğini koruyun.
- Güvenilir bir antivirüs yazılımı kullanın ve kötü amaçlı yazılımları hemen tespit edip kaldırmak için düzenli kontroller yapın.