Microsoft Usb Üzerinden Yayılan Kripto Zararlısına Karşı Uyardı

Microsoft Defender ekibi, USB sürücüler üzerinden yayılan ve kripto para kullanıcılarını hedef alan yeni bir Windows zararlısına karşı uyarı yayımladı. Zararlının, özellikle bitcoin işlemlerini hedef alarak kopyalanan cüzdan adreslerini değiştirebildiği ve 12 ya da 24 kelimelik kurtarma ifadelerini ele geçirebildiği bildirildi.

Sürekli arka planda çalışan bu zararlı, çıkarılabilir depolama aygıtlarındaki dosyaları kısayollarla değiştirerek bulaşıyor. Etkilenen cihazlarda pano verilerini, bellek içeriğini ve ekran görüntülerini kullanarak saldırganlara finansal açıdan kritik veriler gönderebiliyor.

Microsoft’un açıkladığı USB zararlısı nasıl yayılıyor?

Zararlı yazılımın ana yayılma yöntemi, çıkarılabilir medya aygıtlarındaki dosyaların yerine .lnk uzantılı kısayollar koymak oldu. Kullanıcı bu kısayolu çalıştırdığında bulaşma zinciri başlıyor.

Microsoft’a göre zararlı ayrıca bulaştığı bilgisayara takılan her USB sürücüsüne kendisini kopyalayarak yayılmayı sürdürüyor. Bunun yanında antivirüs taraması ve silme girişimlerine karşı önlem aldığı, tespit edilmemek için Tor destekli anonim iletişim kullandığı belirtildi.

Hangi kripto verileri hedef alıyor?

Zararlı, cihaz belleğinde ve pano verilerinde Microsoft’un “yüksek değerli finansal artefaktlar” olarak tanımladığı bilgileri tarıyor. Özellikle 12 veya 24 kelimelik BIP39 seed phrase verilerini tespit ederek saldırganlara iletiyor.

• 12 kelimelik kurtarma ifadeleri
• 24 kelimelik kurtarma ifadeleri
• Cüzdan içeriğine bağlam sağlayan 5 ekran görüntüsü
• Pano ve bellek içinde tespit edilen kripto adresleri

Bu yöntemin tron ve monero cüzdanlarının güvenliği açısından da tehdit oluşturduğu vurgulandı.

Kripto adreslerini nasıl değiştiriyor?

Zararlı, bellek içindeki popüler kripto para adreslerini her 500 milisaniyede bir tarıyor. Bitcoin, tron ve monero adresleri tespit edildiğinde, kullanıcının işlem yapmak üzere bu adresi kopyaladığı varsayılıyor.

Ardından kopyalanan adres, saldırganın kontrolündeki benzer bir adresle değiştiriliyor. Bu da kullanıcıların fark etmeden gönderdikleri fonların saldırganların eline geçmesine yol açabiliyor.

Microsoft hangi önlemleri önerdi?

Microsoft Defender ekibi, bu zararlı ailesinin hafif ve betik tabanlı yapısına rağmen büyük etki oluşturabildiğini belirtti. Özellikle anonim iletişim altyapısı ve çalışma anında görev yürütme kabiliyeti nedeniyle riskin büyüdüğü ifade edildi.

• Tüm çıkarılabilir medya içerikleri için autorun özelliğini devre dışı bırakın
• Çıkarılabilir sürücülerden kısayol dosyalarının çalıştırılmasını engelleyin

Microsoft, USB sürücülerdeki kısayolların bu zararlının başlıca yayılma vektörleri arasında yer aldığını açıkladı. Kripto para işlemi yapan kullanıcıların, kopyaladıkları cüzdan adreslerini işlem onayı vermeden önce ayrıca kontrol etmesi kritik önem taşıyor.

Kaynak: Bitcoin.com News