Çifte tehlike: kripto hırsızı DoubleFinger

Gelişmiş kötü amaçlı yazılım DoubleFinger’ın kripto para cüzdanlarına göz koyan GreetingGhoul adlı hırsız programı nasıl indirdiğini açıklıyoruz.

Kripto para birimleri, sıradan Bitcoin madencilik dolandırıcılıklarından yüz milyonlarca dolarlık şaşılası kripto para soygunlarına kadar her türden suç planlarının saldırıları altında.

 

Kripto para birimi sahipleri için neredeyse her köşe başında tehlikeler var. Yakın zamanda, gerçek kripto cüzdanları gibi görünüp çalıştığı halde nihayetinde tüm paranızı çalan sahte kripto cüzdanlarından söz etmiştik. Şimdi uzmanlarımız keşfetti karşımızda tamamen yeni bir tehdit var: kripto hırsızı GreetingGhoul ve uzaktan erişim Truva Atı Remcos adlı arkadaşlarını da yanında getiren DoubleFinger adlı yükleyiciyi kullanan gelişmiş bir saldırı. Ama önce sırayla gidelim.

 

DoubleFinger nasıl GreetingGhoul adlı hırsızı yüklüyor

Uzmanlarımız, saldırının yüksek teknik seviyesine ve gelişmiş bir kalıcı tehdit (APT) saldırısını andıran çok aşamalı yapısına dikkat çekti. Bir DoubleFinger virüsü kötü amaçlı bir PIF dosyası içeren bir e-posta ile geliyor. Alıcı eki açınca olaylar şu şekilde gelişiyor:

 

  1. Aşama. DoubleFinger, resim paylaşım platformu Imgur.com üzerinden PNG biçiminde bir dosya indiren bir shellcode yürütüyor. Ama bu aslında bir resim değil: Dosyada saldırının sonraki aşamalarında kullanılacak olan DoubleFinger bileşenleri şifreli bir şekilde bulunuyor. Bunlar arasında saldırının ikinci aşamasında kullanılan bir yüklenici, meşru bir java.exe dosyası ve dördüncü aşama için kullanılacak bir diğer PNG dosyası mevcut.

 

  1. Aşama. DoubleFinger ikinci aşama yükleyicisi yukarıda bahsedilen meşru java.exe dosyası kullanılarak çalıştırılıyor, ardından bu yükleyici DoubleFinger’ın üçüncü aşamasını indiren, şifresini çözen ve başlatan başka bir shellcode yürütüyor.

 

  1. Aşama. Bu aşamada, DoubleFinger bilgisayarınızda yüklü güvenlik yazılımlarını aşmak için bir dizi eylem sergiliyor. Daha sonra, yükleyici açılıyor ve ilk aşamada sözü edilen PNG dosyasında bulunan dördüncü aşamayı başlatıyor. Bu arada, bu PNG dosyasında sadece kötü amaçlı kod değil, aynı zamanda kötü amaçlı yazılıma adını veren resim de bulunuyor:
DoubleFinger tarafından dördüncü aşama kötü amaçlı koduyla birlikte kullanılan PNG dosyası

DoubleFinger’ın adını aldığı iki parmak

  1. Aşama. Bu adımda DoubleFinger, Process Doppelgänging adı verilen bir teknik kullanarak beşinci aşamayı başlatıyor, böylece meşru süreci beşinci aşama görev yükünü içeren değiştirilmiş bir süreçle değiştiriyor.

 

  1. Aşama. Yukarıdaki tüm manipülasyonların ardından DoubleFinger asıl tasarım amacını yerine getirmeye başlıyor: başka bir PNG dosyası yükleyip açıyor. Bu dosyada nihai görev yükü bulunuyor. Bu, kendisini sisteme yükleyen ve Görev Planlayıcıda her gün belli bir saatte çalışmak üzere işaretlenen GreetingGhoul adlı kripto hırsızı.

 

GreetingGhoul kripto cüzdanları nasıl çalıyor

DoubleFinger adlı yükleyici işini bitirdikten sonra GreetingGhoul oyuna giriyor. Bu kötü amaçlı yazılımın iki tamamlayıcı bileşeni var:

  1. sistemdeki kripto cüzdan uygulamalarını algılayan ve kişisel verileri (özel anahtarlar ve kurtarma terimleri) saldırganlara aktara bir bileşen;
  2. kripto para birimi uygulamalarının arayüzünün üzerine binip kullanıcı girdilerinin önünü kesen bir bileşen.
GreetingGhoul kripto para birimi uygulamalarının arayüzünü geçersiz kılıyor

GreetingGhoul’un kripto cüzdan uygulamalarının arayüzü üzerine binmesinin bir örneği

 

Sonuç olarak, DoubleFinger’ın ardındaki siber suçlular kurbanın kripto cüzdanlarının kontrolün ele alıp paralarını çekebiliyorlar.

Uzmanlarımız DoubleFinger’ın yaptığı bazı değişiklikleri keşfettiler. Bunlardan bazıları, ek bir yöntem olarak, (siber suçlu çevrelerinde) oldukça yaygın olan uzaktan erişim Truva Atı Remcos’u virüs bulaşan sisteme yüklüyor. Bunun amacı doğrudan adında gizli: REMote (Uzaktan) COntrol (Kontrol) ve Surveillance (Gözetim). Diğer bir deyişle, Remcos siber suçluların tüm kullanıcı hareketlerini gözlemesini ve virüslü sistemin tam kontrolünü ele geçirmesini sağlıyor.

 

Kripto cüzdanlarınız nasıl korunur

Kripto para birimleri siber suçluların ilgisini çekmeye devam ediyor, bu nedenle tüm kripto yatırımcılarının güvenlik konusunda sıkı düşünmesi gerekiyor. Bunu demişken, Kripto yatırımlarını korumak: Güvenliğe giden 4 önemli adım başlıklı son yazımızı okumanızı öneririz. Konunun dört temel noktası şurada:

  • Dolandırıcılığa karşı uyanık olun. Kripto para dünyası her türden dolandırıcıyla doludur, bu nedenle bubi tuzaklarına karşı sürekli olarak çevreyi tarayın ve her şeyi titizlikle iki kez kontrol edin.
  • Tüm yumurtalarınızı aynı sepete koymayın. Sıcak (mevcut işlemler için) ve soğuk (uzun dönemli yatırımlar için) cüzdanlardan oluşan bir kombinasyon kullanın.
  • Siber suçluların soğuk kripto cüzdanlarına nasıl saldırabileceğini öğrenin.
  • Sadece resmi kaynaklardan satın alın: Donanım cüzdanlarını üreticinin web sitesi ya da yetkili bayiler gibi resmi ve güvenilir kaynaklardan satın alın, böylece sahte kripto cüzdan satın almaktan kaçınabilirsiniz.
  • Kurcalama işaretlerini kontrol edin: Yeni bir donanım cüzdanı kullanmadan önce çizik, yapıştırıcı ya da eşleşmeyen bileşenler gibi kurcalama işaretlerini kontrol edin.
  • Üretici yazılımını doğrulayın: Donanım cüzdanı üzerindeki üretici yazılımının meşru ve güncel olup olmadığını her zaman doğrulayın. Bunu üreticinin web sitesindeki en son sürümü kontrol ederek yapabilirsiniz.
  • Donanım cüzdanınızın kurtarma terimini asla bir bilgisayara girmeyin. Hiçbir donanım cüzdanı satıcısı bunu sizden istemez.
  • Parolaları, anahtarları ve kurtarma terimlerini koruyun. Güçlü ve benzersiz parolalar kullanın, bunları güvenle depolayın, ve elbette kişisel anahtarlarınızı ya da kurtarma terimlerinizi asla ve hiçbir koşulda başkalarına vermeyin.
  • Kendinizi koruyun. Kripto cüzdanlarınızı yönetmek için kullandığınız tüm cihazlara güvenilir koruma yüklemeyi ihmal etmeyin.
İpuçları
Başlıklarımızı gelen kutunuza almak için kaydolun
  • Diğer tüm ülkeler için