Microsoft, kripto cüzdanlarını ele geçiren ve USB bellekler aracılığıyla yayılan kötü amaçlı yazılım tespit etti
Yazılım, kısayol dosyalarını engelleyerek bunları Windows panosundan özel anahtarları toplayan ve transfer tespit ettiğinde kendi hedef cüzdan adreslerini ekleyen bir solucan yüklemeye yönlendirir.

- Microsoft’a göre “kripto klipper” olarak adlandırılan kötü amaçlı yazılım, Şubat ayından bu yana enfekte USB sürücüleri aracılığıyla Windows kullanıcılarının kripto cüzdanlarını hedef alarak yayılmaktadır.
- Kötü amaçlı bir .lnk kısayol dosyası aracılığıyla yüklendikten sonra, Trojan:Win32/CryptoBandits adlı solucan, pano üzerinde tohum ifadeleri, özel anahtarlar ve alıcı adreslerini izler, verileri Tor ağı üzerinden dışa aktarır ve saldırgan tarafından kontrol edilen cüzdan adreslerini sessizce değiştirebilir.
- Kötü amaçlı yazılım, temiz USB sürücülerindeki belgeleri aynı adlı kısayollarla değiştirerek yayılır
- Microsoft, kullanıcıları AutoRun özelliğini devre dışı bırakmaya, USB medyada .lnk dosyalarının çalıştırılmasını engellemeye, komut dosyası hostlarını kısıtlamaya ve ağları yayımlanmış ihlal göstergelerine karşı kontrol etmeye çağırdı.
Şubat ayından bu yana USB bellekler aracılığıyla yayılan zararlı yazılım, Windows kişisel bilgisayarlarını enfekte etmekte ve kripto cüzdanları hedef almaktadır, Microsoft dedi bir blog yazısında.
Firma, kötü amaçlı yazılımı "kripto klipçi" olarak adlandırıyor ve Defender Antivirus bunu Trojan:Win32/CryptoBandits olarak tanımlıyor.
Süreç, kötü amaçlı bir kısayol veya bağlantı dosyası içeren enfekte bir USB sürücüsü ile başlar. Windows'ta, kısayol dosya adları ".lnk" ile biter ve işletim sistemine bilgisayarınızda başka bir yerde saklanan belirli bir programı, klasörü veya dosyayı açmasını yönlendirir.
Bir kullanıcı o sürücüyü takıp kısayola tıkladığında, "worm" olarak bilinen bir tür kötü amaçlı yazılım bilgisayara yüklenir. Yüklendikten sonra iki şey yapar: sürekli olarak gerçek kripto cüzdanı çalma kodunu çalıştırır ve aynı anda o bilgisayara yeni, temiz bir USB takılmasını bekler.
Cüzdan hırsızlığı bileşeni, Windows’un kopyala-yapıştır işlemleri için kullanılan gizli geçici belleği olan panoyu yaklaşık her 500 milisaniyede bir izler. Bir kullanıcı bir kripto cüzdan tohum ifadesini veya Bitcoin ya da Ethereum cüzdanı için özel anahtarı kopyaladığında, kötü amaçlı yazılım bu veriyi yakalar ve Tor ağı üzerinden saldırganın sunucusuna gönderir; Tor, anonim iletişim sağlayan açık kaynaklı bir katmandır. Ayrıca, on saniye arayla beş tane ekran görüntüsü alır ve bunları da gönderir.
Risk burada sona ermiyor.
Bir kullanıcı, fon göndermek için bir alıcı adresini kopyalarsa, solucan kullanıcı yapıştırmadan önce adresi sessizce saldırganın kontrolündeki bir adresle değiştirir, böylece transfer herhangi bir görünür işaret olmaksızın saldırgana gider.
Son olarak, solucan temiz bir USB sürücüsü bilgisayara takıldığında yayılır. Temiz USB sürücüsünü, sıradan dosyalar, Word belgeleri, Excel tabloları ve PDF'ler için tarar, bunları aynı isimleri kullanarak yeni kısayol dosyalarıyla değiştirir ve sürücüyü enfekte eder. Ardından döngü devam eder.
Microsoft, çıkarılabilir medya için Otomatik Çalıştır'ı devre dışı bırakmayı, grup ilkesi aracılığıyla USB sürücülerde .lnk dosyası çalıştırılmasını engellemeyi ve wscript.exe ile cscript.exe gibi betik ana bilgisayarlarını kısıtlamayı öneriyor. Microsoft Defender müşterileri ayrıca, 9050 numaralı portta yerel bir Tor proxy bağlantısı da dahil olmak üzere ilgili faaliyetleri kontrol etmek için avcılık sorguları çalıştırabilir.
Microsoft, güvenlik ekiplerinin ağlarını kontrol etmeleri için dosya karmaları ve komut ve kontrol sunucuları olarak kullanılan .onion alan adlarını içeren bir ihlal göstergeleri listesi yayınladı.
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.
CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.
Neden önemli:
CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.





