Dark Webte Kripto Para Hırsızlığı

Siber güvenlik kuruluşu ESET, siber suçluların karanlık internet pazarındaki alıcılardan sanal para çalmak için kullandıkları, truva atına dönüştürülmüş bir Tor Tarayıcısı tespit etti.

ESET araştırmacıları, truva atına dönüştürülmüş Tor Tarayıcısı’nın senelerdir fark edilmeden varlığını sürdürdüğüne dikkat çekti. Araştırmayı yürüten ESET Kıdemli Güvenlik Araştırmacısı Anton Cherepanov, şu bilgileri paylaştı: “Bu iyi değil amaçlı yazılım, arkasındaki siber suçlulara kurbanın hangi web sitesini ziyaret ettiğini görebilmelerini sağlıyor. Saldırganlar teoride, ziyaret edilen sayfanın içeriğini değiştirebiliyor, kurbanın formlara girdiği verileri ele geçirebiliyor, sahte mesajlar görüntüleyebiliyor ve en dikkat çekicisi; kripto para birimi cüzdanlarını değiştirebiliyorlar.”

Tor Tarayıcısı nedir?

Tor Tarayıcılar, interneti anonim bir biçimde kullanmayı ve internet servis sağlayıcılarının kural ve denetimlerini aşmayı sağlıyor. Bu sebeple gizliliğe yönelmek isteyen kullanıcılar Tor’u tercih ediyor. Bu gizlilik, tarayıcının tüm interneti ‘the Onion Router’ adı verilen ağdan sunması ile sağlanıyor. Bu ağ, internet trafiğini farklı veri merkezlerine dağıtarak ve veriyi şifreleyerek kullanıcıların kimliklerini maskeliyor. Tor Tarayıcılar, Darknet‘e (karanlık internet) girmenin ilk yolunu oluşturuyor.

Rusça konuşan kişiler hedef alınıyor

ESET Araştırmacısı Anton Cherepanov’e göre, truva atına dönüştürülmüş Tor Tarayıcısı, Tor ağının Rusça konuşan kullanıcılarını hedef alıyor. Suçlular, iyi değil amaçlı yazılımın yüklü olduğu tarayıcının yayılmasını sağlamak amacıyla, çeşitli platformlarda bunu Tor Tarayıcısı’nın resmi Rusça versiyonu olarak tanıttılar. Amaçları, bu dili konuşan kurbanlarını, zararlı olan ama yasal görünen web sitelerine gitmeleri için kandırmaktı.

Sistem nasıl çalışıyor?

Anton Cherepanov, işleyişi söyle tarif etti: “İlk internet sitesinde, gerçek olsun veya olmasın, kullanıcı Tor Tarayıcısı’nın güncel olmadığı uyarısını alır. Bu yemi yutanlar, içinde yükleyicinin yer aldığı ikinci bir web sitesine yönlendirilir. Yükleme işleminin ardından, truva atına dönüştürülmüş Tor Tarayıcısı’nın işlevleri tam bir uygulama haline gelir. Suçlular, Tor Tarayıcısı’nın ikili bileşenlerini değiştirmemişler, bunun yerine ayarlar ve uzantılarda değişiklik yapmışlar. Sonuç olarak, teknik anlamda bilgili olmayan insanlar orijinal versiyon ile truva atına dönüştürülmüş versiyon arasında herhangi bir fark göremeyecektir.”

Kripto para nasıl çalınıyor?

Siber suçluların yapmış olduğu değişiklikler arasında tarayıcıya bir JavaScript yükü sunulması da var. ESET araştırmacılarının gördükleri JavaScript yükü, Rusça konuşulan en büyük üç karanlık internet pazarını hedef alıyor. Bu yük, QIWI’yi (popüler bir Rus para aktarım hizmeti) ya da bu pazarlardaki sayfalarda bulunan sanal para cüzdanlarını değiştirmeye çalışıyor.

Kurban, direk olarak sanal para ödemesini kullanarak hesabına para eklemek için profil sayfasını ziyaret ettiğinde, truva atına dönüştürülmüş Tor Tarayıcısı orijinal sanal para adresini suçlular tarafından kontrol edilen adresle otomatik olarak değiştiriyor.

Üç sanal para cüzdanı saptandı

Cherepanov, “Soruşturmamız esnasında, 2017 senesinden beri bu kampanyada kullanılan üç sanal para cüzdanı saptadık. Her bir cüzdanda çok sayıda küçük işlem yer alıyordu. Bunu, söz konusu cüzdanların truva atına dönüştürülmüş Tor Tarayıcısı tarafından kullanıldığına dair bir kanıt olarak ele alıyoruz” diye konuştu.

40 bin dolardan fazla para çalındığı tahmin ediliyor

ESET araştırmacılarının, incelemelerine son verdikleri tarihte, tüm bu üç cüzdandan alınan toplam para miktarı 4,sekiz Bitcoin idi ve bu da yaklaşık 40 bin Amerikan dolarına karşılık geliyordu. Anton Cherepanov, “Truva atına dönüştürülmüş Tor Tarayıcısı, QIWI cüzdanlarını da değiştirdiğinden çalınan gerçek para miktarının bundan çok daha yüksek olduğunu düşünüyoruz” bilgisini paylaştı.

Tags:

About The Author

Reply