Crypto Clipper Windows Saldırı Kampanyası
Güvenlik araştırmacıları, Şubat 2026'dan beri aktif olan gelişmiş bir Windows tabanlı kripto para birimi kopyalama operasyonunun ayrıntılarını ortaya çıkardı. Kampanya, kendi kendine yayılma özelliğine sahip pano izleme kötü amaçlı yazılımı kullanıyor ve iletişim altyapısını gizlemek için Tor anonimlik ağından yararlanıyor.
Geleneksel kötü amaçlı yazılım işlemlerinin aksine, standart yükleyicilere veya herkese açık Komuta ve Kontrol (C2) sunucularına dayanmak yerine, bu tehdit taşınabilir bir Tor istemcisi kullanır ve tüm trafiği yerel bir SOCKS5 proxy'si üzerinden yönlendirir. Kripto para hırsızlığı, veri sızdırma ve uzaktan kod yürütme yeteneklerini bir araya getiren bu kötü amaçlı yazılım, yalnızca bir veri hırsızlığı aracı değil, aynı zamanda hafif bir arka kapı görevi de görür.
İçindekiler
Clipper Zararlı Yazılımı Nasıl Çalışır?
Clipper kötü amaçlı yazılımı, kurbanın panosundaki etkinlikleri sessizce izlemek ve belleğe kopyalanan hassas bilgileri ele geçirmek üzere tasarlanmıştır. Başlıca amacı, bilinen blok zinciri formatlarıyla ilişkili cüzdan adreslerini belirleyerek ve bunları saldırgan tarafından kontrol edilen alternatiflerle değiştirerek kripto para işlemlerini manipüle etmektir. Sonuç olarak, meşru alıcılara yönelik fonlar, kurbanın bilgisi olmadan başka yerlere yönlendirilebilir.
Bu saldırı, gömülü bir Tor proxy'si başlatmak ve gizli bir C2 sunucusuyla iletişim kurmak için Windows Script Host ve ActiveX tabanlı işlevselliğe dayanmaktadır. Kötü amaçlı yazılım sürekli olarak panoyu izler, ekran görüntüleri yakalar, kripto para birimiyle ilgili bilgileri çalar ve cüzdan adreslerini gerçek zamanlı olarak değiştirir.
USB Tabanlı Enfeksiyon Zinciri ve Solucan İşlevselliği
Saldırı, çıkarılabilir USB depolama aygıtları aracılığıyla kötü amaçlı Windows Kısayol (LNK) dosyalarının dağıtılmasıyla başlar. Kurban bu kısayollardan birini açtığında, bir solucan bileşeni etkinleştirilir. Kötü amaçlı yazılım öncelikle sistemin daha önce enfekte olup olmadığını belirler ve yalnızca önceden bir enfeksiyon tespit edilmezse kalan zararlı yazılımı indirir.
LNK zararlı yazılımı, bağlı USB cihazlarında DOC, XLSX ve PDF dosyaları da dahil olmak üzere yaygın olarak kullanılan belge formatlarını aktif olarak arar. Bulunduğunda, bu dosyalar gizlenir ve aynı adı taşıyan kötü amaçlı kısayol dosyalarıyla değiştirilir. Bu aldatıcı teknik, kullanıcıların meşru bir belge gibi görünen bir dosyayı açmaya çalışırken farkında olmadan zararlı yazılımı çalıştırma olasılığını artırır.
İlk bulaşmanın ötesinde, solucan, enfeksiyonu enfekte olmamış diğer USB cihazlarına yaymaktan sorumludur. Ayrıca, hem solucan hem de veri hırsızı bileşenleri için zamanlanmış görevler oluşturarak kalıcılık sağlar.
Gelişmiş Kaçınma ve Kalıcı Komut Yürütme
Bu zararlı yazılım, işletim sistemiyle doğrudan etkileşim kurmak için WScript ve ActiveXObject kullanır. Tespit edilme olasılığını azaltmak için, aktif işlemleri kontrol eder ve Görev Yöneticisi çalışıyorsa kendini sonlandırır.
Yürütmenin son aşamasında, gizli bir pencerede yeniden adlandırılmış bir Tor ikili dosyası başlatılır. Kötü amaçlı yazılım daha sonra benzersiz bir kurban tanımlayıcısı oluşturur ve bunu uzak altyapısına kaydeder. Kayıt işleminden sonra, sürekli bir çalışma döngüsüne girer ve yaklaşık her 500 milisaniyede bir pano içeriğini izlerken C2 sunucusundan komutlar için sorgulama yapar.
Kripto para cüzdan verilerini, kurtarma kelime öbeklerini ve özel anahtarları ele geçirmenin yanı sıra, kötü amaçlı yazılım ekran görüntüleri yakalar ve bunları Tor ağı üzerinden iletir. C2 sunucusu bir EVAL komutuyla yanıt verirse, saldırgan tarafından sağlanan kod, ele geçirilen sistemde dinamik olarak yürütülür ve tehdidin yeteneklerini önemli ölçüde genişletir.
Temel Göstergeler ve Savunma Önerileri
Güvenlik ekiplerine, yalnızca statik kötü amaçlı yazılım imzalarına güvenmek yerine davranışsal tespit tekniklerine odaklanmaları tavsiye edilir. Özellikle şüpheli PowerShell tabanlı ekran görüntüsü alma faaliyetlerine ve curl, cmd.exe, PowerShell veya diğer beklenmedik yürütülebilir dosyaları başlatmak için WScript veya CScript gibi Windows komut dosyası motorlarının alışılmadık kullanımına dikkat edilmelidir.
Önerilen savunma önlemleri şunlardır:
- Tüm çıkarılabilir medyalar için Otomatik Çalıştırma ve Otomatik Oynatma işlevlerini devre dışı bırakmak, Grup İlkesi Nesneleri (GPO'lar) aracılığıyla USB aygıtlarından LNK dosyası yürütülmesini engellemek ve wscript.exe ile cscript.exe'nin gereksiz kullanımını sınırlandırmak.
- Finansal veya kripto para birimiyle ilgili işlemleri yöneten sistemlerin, anormal pano etkinliği, yetkisiz ekran görüntüsü alma davranışı ve şüpheli Tor ile ilgili ağ iletişimleri açısından izlenmesi.
Bu Tehdit Neden Öne Çıkıyor?
Bu kampanya, finansal motivasyonlu kötü amaçlı yazılımların giderek artan karmaşıklığını göstermektedir. USB tabanlı solucan yayılımı, pano ele geçirme, Tor ile gizlenmiş iletişim, ekran görüntüsü sızdırma ve uzaktan kod yürütme gibi yöntemleri tek bir araç setinde birleştirerek, operatörler hem kripto para varlıklarını çalabilen hem de enfekte sistemlere uzun süreli erişim sağlayabilen çok yönlü bir tehdit oluşturmuştur. Gizli hizmet altyapısının kullanımı, tespit ve etkisiz hale getirme çabalarını daha da zorlaştırarak, proaktif davranışsal izlemeyi kritik bir savunma stratejisi haline getirmektedir.
