ToR tarayıcı yüklemesi kılığında hazırlanan Trojanlı yükleyiciler, Eylül 2022’den bu yana Rusya ve Doğu Avrupa’daki kullanıcıları kripto para birimlerini çalmak için tasarlanmış Clipper kötü amaçlı yazılımıyla hedef alıyor.
Kaspersky’nin Asya Pasifik’teki küresel araştırma ve analiz ekibi (GReAT) direktörü Vitaly Kamluk, “Panoyu etkileyen zararlılar yıllar boyunca sessiz kalabilir, herhangi bir şüpheli ağ etkinliği veya var olduklarına dair başka hiçbir işaret göstermeyebilirler, ancak bir kripto cüzdan adresini değiştirdikleri ana kadar beklerler” dedi.
Clipper kötü amaçlı yazılımının başka bir dikkat çekici özelliği; kötü amaçlı fonksiyonlarının panoya kopyalanan veriler belirli bir kriteri karşılamadığı sürece herhangi bir şekilde tetiklenmemesi veya çalışmaması. Bu sayede tespit etmek çok daha zor hale geliyor.
Sahte Tor kurulum dosyalarının nasıl yayıldığı ise belli değil ancak son yıllarda Rusya’da Tor Projesi’nin resmi web sitesi engelli olduğu için, kullanıcılar Torrent veya bilinmeyen üçüncü taraf kaynakları kullanmaya mecbur kalıyor. Tahminen zararlı da buralardan yayılmıştır denilebilir.
İlgili zararlı dosyalar çalıştırıldığında normal Tor Browser kurulumu başlarken aynı anda panoyu takip etmek için geliştirilmiş Clipper zararlısı da sisteme bulaşmış oluyor. Eğer panoda bir içerik varsa ilgili içeriğin belirli bir kuralı karşılayıp karşılamadığına bakılıyor. Bu kural içeriğin kripto para adresi olup olmadığına dair eklenmiş bir regex. Kripto para adresi ise, daha önceden belirlenmiş bir listedeki saldırgan adresiyle değiştiriliyor.
Ayrıca analistler, kötü amaçlı yazılımın özel bir kısayol tuşu kombinasyonuyla (Ctrl+Alt+F10) devre dışı bırakma yeteneğine sahip olduğunu da tespit etti. Muhtemelen bunun da test esnasında unutulduğu düşünülüyor.
Rus siber güvenlik firması, çoğunluğunun Rusya ve Ukrayna’da kaydedildiği yaklaşık 16.000 sistemin etkilendiğini ve bunu ABD, Almanya, Özbekistan, Belarus, Çin, Hollanda, İngiltere ile Fransa’nın izlediğini belirtti. Toplamda zararlı yazılım 52 ülkede görüldü.