Dikkat: Kripto Cüzdanlarınıza Bu Kötü Amaçlı Yazılım Bulaşmış Olabilir! - BTC MAGAZİN

Dikkat: Kripto Cüzdanlarınıza Bu Kötü Amaçlı Yazılım Bulaşmış Olabilir!

Intezer Labs araştırmacılarına göre, yakın zamanda ortaya çıkarılan, ElectroRAT adı verilen bir uzaktan erişim Truva Atı, geçtiğimiz yıl boyunca dijital cüzdanlardan kripto para birimi çalıyor ve birden fazla işletim sistemini hedefleme yeteneğine sahip.

ElectroRAT kötü amaçlı yazılımını gizleyen truva atı haline getirilmiş “Jamm” uygulaması (Kaynak: Intezer Labs)

Golang programlama dilinde yazılan kötü amaçlı yazılım, Windows, Linux ve macOS platformlarını hedeflemek için tasarlandı ve bu hafta yayınlanan rapora göre 2020’nin başından beri “binlerce” kurbanı hedef almış gibi görünüyor.

ElectroRAT kötü amaçlı yazılımına ek olarak, bu kampanyanın arkasındaki operatörler, kurbanları ve dijital cüzdanlarını hedeflemek için bir dizi etki alanı kaydı ve web sitesi, Truva atına alınmış uygulamalar ve sahte sosyal medya hesapları dağıttı.

Araştırmacılar, birden çok işletim sistemini hedefleyen ve sıfırdan tasarlanmış gibi görünen kötü amaçlı yazılımın yaratılmasının, bu özel kampanyanın en karmaşık kısmı olduğunu belirtiyor.

Intezer Labs’de bir güvenlik araştırmacısı olan Avigayil Mechtinger raporda:

“Kurbanların cüzdanlarına erişmek için özel anahtarları toplamaya çalışan çeşitli bilgi hırsızlarını görmek oldukça yaygındır. Ancak, sıfırdan yazılan ve bu amaçlar için birden çok işletim sistemini hedefleyen araçları görmek nadirdir.”

Kripto Kampanyası

Intezer’in keşfettiği kampanyada operatörler, Trojanized uygulamaların sahte Twitter ve Telegram hesapları dahil olmak üzere çeşitli sosyal medya platformlarında ve ayrıca kripto para birimi ile ilgili tartışmalara ve haberlere adanmış çeşitli forumlarda reklamını yapmaya başladı.

Bu kötü amaçlı uygulamalar, sanal para birimleri satın alan ve satan kişiler için yasal uygulamalar gibi görünmek üzere tasarlanmıştır. Rapor, bu kampanyanın operatörlerinin yasal kripto para birimi ticaret yönetimi uygulamaları gibi görünen Jamm ve eTrade adlı sahte uygulamaları ve sanal para birimi poker uygulamasına benzeyen DaoPoker’i yarattığını belirtiyor.

Ancak bu silah haline getirilmiş uygulamalar, ElectroRAT kötü amaçlı yazılımını gizlemeye yardımcı oldu. Sahte uygulamalar bir cihaza indirildiyse, kurban, yasal bir kullanıcı arayüzü gibi görünen şeyi görecekti. Ancak rapora göre, arka planda Truva Atı aygıtın güvenliğini ihlal ediyor.

(Kaynak: Intezer Labs)

Rapor, “Kurban uygulamayı çalıştırdığında, masum bir GUI açılacak, ElectroRAT ise arka planda ‘mdworker’ olarak gizli olarak çalışacak,” diye belirtiyor.

Bu kampanyanın arkasındaki operatörler, Truva Atı’na dönüştürülmüş bu uygulamaların Windows, Linux ve macOS üzerinde çalışacak üç ayrı sürümünü oluşturdu. Tüm uygulamalar, bir uygulama geliştirme çerçevesi olan Electron kullanılarak oluşturuldu.

FTI Consulting’de Asya-Pasifik bölgesi kıdemli genel müdürü ve siber güvenlik başkanı Kyung Kim, daha önce ISMG’ye daha fazla tehdit aktörünün Windows dışındaki işletim sistemlerini hedefleyebilecek kötü amaçlı yazılımlar oluşturmalarına yardımcı olmak için Golang programlama dilini kullandığını söylemişti.

Kim, “Golang, çok değişkenli olduğu ve tek bir kod tabanının tüm büyük işletim sistemlerinde biriktirilmesine izin verdiği için saldırganlar için popülerdir. Golang kötü amaçlı yazılımı, son kullanıcılara saldırmak yerine çabalarını uygulama sunucuları, çerçeveleri ve web uygulamalarını tehlikeye atmaya odaklıyor, bu yüzden kısmen sistemlere tespit edilmeden kolayca sızabiliyor.”

ElectroRAT kötü amaçlı yazılımı, kripto para birimlerinin dijital cüzdanlarını boşaltma kabiliyetine ek olarak, bir keylogger olarak çalışır ve ekran görüntüleri alabilir, dosyaları diskten yükleyebilir, virüslü cihaza dosya indirebilir ve komutları çalıştırabilir.

Intezer Labs araştırmacıları, ElectroRAT kötü amaçlı yazılımının, operatörler tarafından kontrol edilen komut ve kontrol sunucusunun IP adresini almak için bir Pastebin sayfasına bağlanmaya çalışacağını da buldu. Rapor, Pastebin sayfasının Ocak ve Aralık 2020 arasında yaklaşık 6.500 kez ziyaret edildiğini belirtiyor, bu da kötü amaçlı yazılımı indiren muhtemelen binlerce kurban olduğu anlamına geliyor.


Bizi twittertelegraminstagram ve linkedin kanallarımızdan takip edebilirsiniz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu