ToR tarayıcı yüklemesi kılığında hazırlanan Trojanlı yükleyiciler, Eylül 2022’den bu yana Rusya ve Doğu Avrupa’daki kullanıcıları kripto para ünitelerini çalmak için tasarlanmış Clipper makus maksatlı yazılımıyla gaye alıyor.
Kaspersky’nin Asya Pasifik’teki global araştırma ve tahlil takımı (GReAT) yöneticisi Vitaly Kamluk, “Panoyu etkileyen zararlılar yıllar boyunca sessiz kalabilir, rastgele bir kuşkulu ağ aktifliği yahut var olduklarına dair öbür hiçbir işaret göstermeyebilirler, fakat bir kripto cüzdan adresini değiştirdikleri ana kadar beklerler” dedi.
Clipper makûs hedefli yazılımının diğer bir dikkat alımlı özelliği; makus emelli işlevlerinin panoya kopyalanan datalar muhakkak bir kriteri karşılamadığı sürece rastgele bir halde tetiklenmemesi yahut çalışmaması. Bu sayede tespit etmek çok daha sıkıntı hale geliyor.
Sahte Tor heyetim evraklarının nasıl yayıldığı ise muhakkak değil lakin son yıllarda Rusya’da Tor Projesi’nin resmi web sitesi engelli olduğu için, kullanıcılar Torrent yahut bilinmeyen üçüncü taraf kaynakları kullanmaya mecbur kalıyor. Tahminen ziyanlı da buralardan yayılmıştır denilebilir.
İlgili ziyanlı belgeler çalıştırıldığında olağan Tor Browser heyetimi başlarken birebir anda panoyu takip etmek için geliştirilmiş Clipper zararlısı da sisteme bulaşmış oluyor. Şayet panoda bir içerik varsa ilgili içeriğin muhakkak bir kuralı karşılayıp karşılamadığına bakılıyor. Bu kural içeriğin kripto para adresi olup olmadığına dair eklenmiş bir regex. Kripto para adresi ise, daha evvelden belirlenmiş bir listedeki saldırgan adresiyle değiştiriliyor.
Ayrıca analistler, makûs maksatlı yazılımın özel bir kısayol tuşu kombinasyonuyla (Ctrl+Alt+F10) devre dışı bırakma yeteneğine sahip olduğunu da tespit etti. Muhtemelen bunun da test esnasında unutulduğu düşünülüyor.
Rus siber güvenlik firması, çoğunluğunun Rusya ve Ukrayna’da kaydedildiği yaklaşık 16.000 sistemin etkilendiğini ve bunu ABD, Almanya, Özbekistan, Belarus, Çin, Hollanda, İngiltere ile Fransa’nın izlediğini belirtti. Toplamda ziyanlı yazılım 52 ülkede görüldü.
