ToR tarayıcı yüklemesi kılığında hazırlanan Trojanlı yükleyiciler, Eylül 2022’den bu yana Rusya ve Doğu Avrupa’daki kullanıcıları kripto para ünitelerini çalmak için tasarlanmış Clipper berbat maksatlı yazılımıyla maksat alıyor.
Kaspersky’nin Asya Pasifik’teki global araştırma ve tahlil grubu (GReAT) yöneticisi Vitaly Kamluk, “Panoyu etkileyen zararlılar yıllar boyunca sessiz kalabilir, rastgele bir kuşkulu ağ aktifliği yahut var olduklarına dair diğer hiçbir işaret göstermeyebilirler, lakin bir kripto cüzdan adresini değiştirdikleri ana kadar beklerler” dedi.
Clipper makus gayeli yazılımının diğer bir dikkat cazip özelliği; makûs hedefli işlevlerinin panoya kopyalanan datalar makul bir kriteri karşılamadığı sürece rastgele bir formda tetiklenmemesi yahut çalışmaması. Bu sayede tespit etmek çok daha sıkıntı hale geliyor.
Sahte Tor suram belgelerinin nasıl yayıldığı ise aşikâr değil lakin son yıllarda Rusya’da Tor Projesi’nin resmi web sitesi engelli olduğu için, kullanıcılar Torrent yahut bilinmeyen üçüncü taraf kaynakları kullanmaya mecbur kalıyor. Tahminen ziyanlı da buralardan yayılmıştır denilebilir.
İlgili ziyanlı evraklar çalıştırıldığında olağan Tor Browser konseyimi başlarken birebir anda panoyu takip etmek için geliştirilmiş Clipper zararlısı da sisteme bulaşmış oluyor. Şayet panoda bir içerik varsa ilgili içeriğin muhakkak bir kuralı karşılayıp karşılamadığına bakılıyor. Bu kural içeriğin kripto para adresi olup olmadığına dair eklenmiş bir regex. Kripto para adresi ise, daha evvelden belirlenmiş bir listedeki saldırgan adresiyle değiştiriliyor.
Ayrıca analistler, berbat hedefli yazılımın özel bir kısayol tuşu kombinasyonuyla (Ctrl+Alt+F10) devre dışı bırakma yeteneğine sahip olduğunu da tespit etti. Muhtemelen bunun da test esnasında unutulduğu düşünülüyor.
Rus siber güvenlik firması, çoğunluğunun Rusya ve Ukrayna’da kaydedildiği yaklaşık 16.000 sistemin etkilendiğini ve bunu ABD, Almanya, Özbekistan, Belarus, Çin, Hollanda, İngiltere ile Fransa’nın izlediğini belirtti. Toplamda ziyanlı yazılım 52 ülkede görüldü.