Geçen yıl Aralık ayının ortalarında, dosyaları kötü amaçlı yazılımlara karşı tarayan online servis VirusTotal’a şüpheli bir dosya yüklendi. İlk bakışta, bir kripto para birimi cüzdanı yükleyicisi gibi görünüyordu. Ancak uzmanlarımız bunu analiz etti ve cüzdanın yanı sıra kullanıcının cihazına kötü amaçlı yazılım da bulaştırdığını fark etti. Görünüşe göre program, küçük çaplı dolandırıcıların değil, Lazarus’un kötü şöhretleriyle tanınan siber suçlularının işi.
Lazarus nedir?
Lazarus bir APT grubudur. Bu tür gruplar, genellikle iyi finanse edilen, karmaşık kötü amaçlı yazılımlar geliştiren ve endüstriyel veya siyasi casusluk gibi hedefli saldırılarda uzmanlaşan siber suç örgütleridir. Para çalmak, eğer onları ilgilendiriyorsa, genellikle asıl amaçları değildir.
Ancak Lazarus, aktif olarak diğer insanların parasının peşinde olan bir APT grubudur. 2016’da grup, Bangladeş Merkez Bankası’ndan büyük miktar para çaldı. 2018’de bir kripto para borsasına kötü amaçlı yazılım bulaştırdı. 2020’de fidye yazılımında şansını denedi.
Arka kapılı DeFi cüzdanı
Araştırmacılarımızın hepsinin gözüne takılan dosya, yasal bir merkezi olmayan kripto cüzdanı için virüslü bir yükleyici içeriyordu. DeFi (merkezi olmayan finans), bankalar gibi aracıların olmadığı ve tüm işlemlerin doğrudan kullanıcılar arasında yapıldığı bir finansal modeli. DeFi teknolojisi, son yıllarda gittikçe popülerleşiyor. Forbes’a göre, Mayıs 2020’den Mayıs 2021’e kadar DeFi sistemlerindeki varlıkların değeri 88 kat arttı. DeFi’nin siber suçluların ilgisini çekmesi şaşırtıcı değil.
Siber suçluların, kurbanları, virüslü dosyayı indirmeye ve çalıştırmaya tam olarak nasıl ikna ettiği pek net değil. Ancak uzmanlarımız, saldırganların sosyal medyada kullanıcılara hedefli e-postalar veya mesajlar gönderdiklerini düşünüyor. Toplu postaların aksine, bu tür mesajlar belirli bir alıcıya göre uyarlanır ve çok inandırıcı görünebilir.
Her durumda, kullanıcı yükleyiciyi çalıştırdığında, iki yürütülebilir dosya oluşturur: biri — kötü amaçlı bir program, diğeri — temiz bir kripto cüzdanı yükleyicisi. Kötü amaçlı yazılım, kendisini Google Chrome tarayıcısı olarak maskeler. Yerine temiz bir yükleyici kopyalayarak virüslü yükleyicinin varlığını gizlemeye çalışır ve kullanıcının hiçbir şeyden şüphelenmemesi için bunu hemen çalıştırır. Cüzdan başarıyla yüklendikten sonra, kötü amaçlı yazılım arka planda çalışmaya devam eder.
Ne kadar tehlikeli?
DeFi cüzdanı ile bilgisayara giren kötü amaçlı yazılım, bir arka kapıdır. Operatörün niyetine bağlı olarak, arka kapı, bilgi toplayabilir ya da cihaz üzerinde uzaktan kontrol sağlayabilir. Belirtmek gerekirse,
- İşlemleri başlatabilir ve sonlandırabilir,
- Cihazda komutları yürütebilir,
- Dosyaları cihaza indirebilir, silebilir ve cihazdan C&C sunucusuna dosya gönderebilir.
Başka bir deyişle, saldırı başarılı olduğunda, kötü amaçlı yazılım antivirüsü devre dışı bırakabilir ve değerli belgelerden hesaplara ve paraya kadar istediği her şeyi çalabilir. Ayrıca, siber suçluların istediği şekilde, bilgisayara diğer kötü amaçlı programları da indirebilir. Her zaman olduğu gibi, uzman blogumuz Securelist’te yayımladığımız Truva atı’nın teknik analizinde daha fazla ayrıntı mevcut.
Nasıl kurban olunmaz
Finansmanla ve özellikle kripto para birimiyle ilgileniyorsanız, sizi güvenilmeyen kaynaklardan program yüklemeniz için ikna etmeye çalışan mesajlara karşı dikkatli olun. Ek olarak, cihazlarınızın güvenli olduğundan emin olun — özellikle kripto para birimi işlemleri için kullandığınız cihazların. Sadece dikkatin yeterli olmadığı durumlarda güvenilir bir güvenlik çözümü, size yardımcı olacaktır.