Bitcoin hırsızı Çılgın Razy

Ocak 29, 2019

İşletim sisteminin varsayılan tarayıcısından farklı bir tarayıcı kullanıyorsanız büyük ihtimalle tarayıcı uzantılarını biliyor, hatta birkaç tanesini kullanıyorsunuzdur. Ayrıca bu blogu devamlı olarak takip ediyorsanız, bu uzantılardan bazılarının tehlikeli olduğunun ve yalnızca resmi kaynaklardan yüklenmeleri gerektiğinin de farkındasınızdır. Ancak buradaki asıl sorun, kötü amaçlı eklentilerin kullanıcının bilgisi olmadan, hatta kullanıcı (neredeyse) hiçbir işlem yapmadan bile kurulabilmesidir.

Razy kötü amaçlı uzantıları nasıl yüklüyor?

Baş şüpheli, (Windows için geçerli olmak üzere) Google Chrome, Mozilla Firefox ve Yandex Browser’ı kendi eklentileriyle yenileyen Razy Trojan’dır. Securelist.com adresinden daha detaylı bilgiye ulaşabilirsiniz, ancak temelde bu kötü amaçlı yazılım, yüklenen uzantıların taranmasını devre dışı bırakır, her ihtimale karşı tarayıcının güncellenmesini engeller ve ardından kötü amaçlı eklentileri yüklemeye başlar: Firefox’a Firefox Protection uzantısı eklenirken Yandex Browser’a Yandex Protect uzantısı yüklenir.

Bu uzantıların isimleri yanıltıcı olsa da bir anda ortaya çıkmaları tehlike işareti olarak görülmelidir. Google Chrome’a yönelik komut dosyası bu bağlamda özellikle tehlikelidir: Çünkü Razy, genel tarayıcı eklentileri listesinde görünmeyen ve güvenlik yazılımı olmadıkça yalnızca dolaylı olarak tespit edilebilen Chrome Media Router sistem uzantısına bulaşabilir.

Virüs bulaştıktan sonra ne olur?

Tüm bu senaryo, man-in-the-browser (tarayıcıya yerleştirilen zararlı yazılım) saldırılarının tipik bir örneğidir. Kötü amaçlı uzantılar, internet sitesinin içeriğini yaratıcılarının isteği doğrultusunda değiştirir. Razy olayında en çok korkması gerekenler, kripto para sahipleridir. Uzantı, kripto para borsası sitelerini hedef alır, siteyi “kazançlı” teklifler gösteren reklamlarla doldurur ancak yemi yutan kullanıcılar kendilerini değil, siber suçluları zenginleştirmiş olur.

Bu da yetmezmiş gibi, uzantı Google’da veya Yandex’te yapılan kullanıcı aramalarını gözetler ve eğer arama sorusu kripto para birimiyle ilgiliyse uzantı, bu bağlantıları arama sonuçları sayfasındaki kimlik avı sitelerine ekler.

Razy sonuçları: Arama sonuçlarındaki ilk beş bağlantı, kötü amaçlı uzantı tarafından eklenir ve kimlik avı sitelerini gösterir

Coin’leri “yeniden dağıtmanın” bir başka yolu da, bir Web sayfasındaki tüm cüzdan numaralarını (veya QR kodlarını) siber suçlulara ait cüzdanların numaralarıyla değiştirmektir.

Aşağıdakilere benzer cömert teklifler sunan reklamlar, virüs bulaşmış tarayıcı kullanıcılarının peşini Vkontakte veya Youtube gibi sitelerde de bırakmaz: “Şimdi biraz yatırım yapın, sonrasında bir milyon kazanın,” “Çevrimiçi bir ankete katılarak para kazanın” vb. Vikipedi sayfalarında kullanıcılardan projeyi desteklemelerini isteyen sahte başlık da cabası.

Razy’den korunma yolları

Razy Trojan, bağlı programlar aracılığıyla faydalı yazılım görüntüsü altında gizlenerek yayılır ve çeşitli ücretsiz dosya barındırma hizmetlerinden indirilebilir, bu nedenle bu virüsten nasıl korunulacağına dair tavsiyeler de oldukça standarttır:

  • Uygulamaları yalnızca geliştirici internet sitelerinden ve güvendiğiniz kaynaklardan indirin.
  • Bilgisayarınızda (bilinmeyen iyileştirici araçlarının ortaya çıkması gibi) herhangi bir şüpheli etkinlik olduğunu fark ederseniz bir an önce bilgisayarınızı tarayın çünkü bu durum kandırılıp kötü amaçlı yazılım yüklediğinizi gösteriyor olabilir.
  • Bir anda ortaya çıkmış gibi görünen tarayıcı uzantılarını kontrol edin ve şüpheli görünenleri devre dışı bırakın.
  • Güvenilir bir antivirüs yazılımı kullanın.