Stealka olarak bilinen yeni tanımlanmış bir kötü amaçlı yazılım türü, oyun hileleri, yazılım kırıkları ve popüler modlar gibi davranarak kripto para çalıyor; güvenilir indirme platformlarını ve sahte web sitelerini kullanarak kullanıcıları kendi cihazlarını enfekte etmeye kandırıyor.
Kaspersky siber güvenlik araştırmacıları, Windows tabanlı bu bilgi çalan yazılımın en az Kasım ayından beri aktif olarak dolaşımda olduğunu ve tarayıcı verilerini, yerel olarak yüklü uygulamaları ile hem tarayıcı tabanlı hem de masaüstü kripto cüzdanlarını hedeflediğini belirtiyor.
Çalıştırıldığında Stealka, çevrimiçi hesapları ele geçirebiliyor, kripto para bakiyelerini boşaltabiliyor ve bazı durumlarda, enfekte sistemlerden daha fazla gelir elde etmek için bir kripto madencisi kurabiliyor.
Oyun Hileleri ve Korsan Yazılımlar Yoluyla Yayılıyor
Kaspersky’nin analizine göre Stealka, öncelikle kullanıcıların gönüllü olarak indirip çalıştırdığı dosyalar üzerinden yayılıyor.
Kötü amaçlı yazılım genellikle ticari yazılımların kırılmış sürümleri ya da popüler oyunlar için hile ve modlar olarak gizleniyor ve GitHub, SourceForge, Softpedia ve Google Sites gibi yaygın olarak kullanılan platformlar üzerinden dağıtılıyor.
Birçok vakada saldırganlar, kötü amaçlı dosyaları meşru depolara yükleyerek, platformların güvenilirliğine güvenip şüpheleri azaltmayı hedefledi.
Buna paralel olarak, araştırmacılar korsan yazılım veya oyun script’leri sunduğunu iddia eden profesyonelce tasarlanmış sahte web siteleri gözlemledi.
Bu siteler, indirmelerin güvenli olduğu izlenimini vermek için çoğunlukla sahte antivirüs tarama sonuçları gösteriyor.
Gerçekte ise dosya adları ve sayfa açıklamaları yalnızca yem görevi görüyor; indirilen içerik tutarlı şekilde aynı bilgi çalan yükü barındırıyor.
Kötü Amaçlı Yazılım Tarayıcıları, Cüzdanları ve Yerel Uygulamaları Hedefliyor
Kurulduktan sonra Stealka, Chromium ve Gecko tabanlı web tarayıcılarına yoğunlaşıyor ve yüzün üzerinde tarayıcının kullanıcılarını veri hırsızlığına maruz bırakıyor.
Ayrıca Oku: ING Flags Deep Shift As China, India And Brazil Reduce Billions Of U.S. Treasury Holdings In A Single Month
Kötü amaçlı yazılım, kayıtlı oturum açma kimlik bilgilerini, otomatik doldurma verilerini, tanımlama bilgilerini (çerezleri) ve oturum belirteçlerini çıkararak saldırganların iki faktörlü kimlik doğrulamayı atlatmasına ve şifrelere ihtiyaç duymadan hesapları ele geçirmesine olanak tanıyor.
Ele geçirilen hesaplar, oyun toplulukları da dahil olmak üzere, kötü amaçlı yazılımı daha fazla yaymak için kullanılıyor.
Stealka ayrıca kripto para cüzdanları, parola yöneticileri ve kimlik doğrulama araçlarıyla bağlantılı tarayıcı uzantılarını da hedef alıyor. Araştırmacılar, MetaMask, Trust Wallet ve Phantom gibi büyük kripto cüzdanlarıyla ilişkili uzantılardan, ayrıca Bitwarden, Authy ve Google Authenticator gibi parola ve kimlik doğrulama hizmetlerinden veri toplama girişimlerini tespit etti.
Tarayıcıların ötesinde kötü amaçlı yazılım, onlarca masaüstü uygulamasından yapılandırma dosyaları ve yerel veriler topluyor.
Bunlar arasında, şifrelenmiş özel anahtarlar ve cüzdan meta verilerini saklayabilen bağımsız kripto cüzdanları, mesajlaşma uygulamaları, e‑posta istemcileri, VPN yazılımları, not alma araçları ve oyun başlatıcıları yer alıyor.
Neden Önemli?
Bu bilgilere erişim, saldırganların fonları çalmasını, hesap kimlik bilgilerini sıfırlamasını ve ek kötü amaçlı faaliyetleri gizlemesini mümkün kılıyor.
Kötü amaçlı yazılım buna ek olarak sistem bilgilerini topluyor ve enfekte cihazların ekran görüntülerini alıyor.
Kaspersky, Stealka kampanyasının korsanlık, oyunla ilgili indirmeler ve finansal siber suç arasındaki artan örtüşmeyi ortaya koyduğunu vurguluyor ve kullanıcıları güvenilmeyen yazılım kaynaklarından kaçınmaya, hileleri, modları ve kırıkları yüksek riskli dosyalar olarak değerlendirmeye çağırıyor.
Sıradaki Oku: Bitcoin's Hidden Vulnerability Exposed: How Quantum Computers Could Steal Billions Before We're Ready