ESET, siber suçluların karanlık internet pazarındaki alıcılardan sanal para çalmak için kullandıkları, truva atına dönüştürülmüş bir Tor Tarayıcısı tespit etti.
ESET araştırmacıları, truva atına dönüştürülmüş Tor Tarayıcısı’nın yıllardır fark edilmeden varlığını sürdürdüğüne dikkat çekti. Araştırmayı yürüten ESET Kıdemli Güvenlik Araştırmacısı Anton Cherepanov, şu bilgileri paylaştı: “Bu kötü amaçlı yazılım, arkasındaki siber suçlulara kurbanın hangi web sitesini ziyaret ettiğini görebilmelerini sağlıyor. Saldırganlar teoride, ziyaret edilen sayfanın içeriğini değiştirebiliyor, kurbanın formlara girdiği verileri ele geçirebiliyor, sahte mesajlar görüntüleyebiliyor ve en dikkat çekicisi; kripto para birimi cüzdanlarını değiştirebiliyorlar.”
Tor Tarayıcısı nedir?
Tor Tarayıcılar, interneti anonim bir şekilde kullanmayı ve internet servis sağlayıcılarının kural ve denetimlerini aşmayı sağlıyor. Bu nedenle gizliliğe yönelmek isteyen kullanıcılar Tor’u tercih ediyor. Bu gizlilik, tarayıcının tüm interneti ‘the Onion Router’ adı verilen ağdan sunması ile sağlanıyor. Bu ağ, internet trafiğini farklı veri merkezlerine dağıtarak ve veriyi şifreleyerek kullanıcıların kimliklerini maskeliyor. Tor Tarayıcılar, Darknet‘e (karanlık internet) girmenin ilk yolunu oluşturuyor.
Rusça konuşan kişiler hedef alınıyor
ESET Araştırmacısı Anton Cherepanov’e göre, truva atına dönüştürülmüş Tor Tarayıcısı, Tor ağının Rusça konuşan kullanıcılarını hedef alıyor. Suçlular, kötü amaçlı yazılımın yüklü olduğu tarayıcının yayılmasını sağlamak için, çeşitli platformlarda bunu Tor Tarayıcısı’nın resmi Rusça versiyonu olarak tanıttılar. Amaçları, bu dili konuşan kurbanlarını, zararlı olan ama yasal görünen web sitelerine gitmeleri için kandırmaktı.
Sistem nasıl çalışıyor?
Anton Cherepanov, işleyişi söyle tarif etti: “İlk web sitesinde, gerçek olsun veya olmasın, kullanıcı Tor Tarayıcısı’nın güncel olmadığı uyarısını alır. Bu yemi yutanlar, içerisinde yükleyicinin yer aldığı ikinci bir web sitesine yönlendirilir. Yükleme işleminin ardından, truva atına dönüştürülmüş Tor Tarayıcısı’nın işlevleri tam bir uygulama haline gelir. Suçlular, Tor Tarayıcısı’nın ikili bileşenlerini değiştirmemişler, bunun yerine ayarlar ve uzantılarda değişiklik yapmışlar. Sonuç olarak, teknik anlamda bilgili olmayan insanlar orijinal versiyon ile truva atına dönüştürülmüş versiyon arasında herhangi bir fark göremeyecektir.”
Kripto para nasıl çalınıyor?
Siber suçluların yaptığı değişiklikler arasında tarayıcıya bir JavaScript yükü sunulması da var. ESET araştırmacılarının gördükleri JavaScript yükü, Rusça konuşulan en büyük üç karanlık internet pazarını hedef alıyor. Bu yük, QIWI’yi (popüler bir Rus para aktarım hizmeti) ya da bu pazarlardaki sayfalarda bulunan sanal para cüzdanlarını değiştirmeye çalışıyor.
Kurban, doğrudan sanal para ödemesini kullanarak hesabına para eklemek için profil sayfasını ziyaret ettiğinde, truva atına dönüştürülmüş Tor Tarayıcısı orijinal sanal para adresini suçlular tarafından kontrol edilen adresle otomatik olarak değiştiriyor.
Üç sanal para cüzdanı saptandı
Cherepanov, “Soruşturmamız esnasında, 2017 yılından beri bu kampanyada kullanılan üç sanal para cüzdanı saptadık. Her bir cüzdanda çok sayıda küçük işlem yer alıyordu. Bunu, söz konusu cüzdanların truva atına dönüştürülmüş Tor Tarayıcısı tarafından kullanıldığına dair bir kanıt olarak ele alıyoruz” diye konuştu.
40 bin dolardan fazla para çalındığı tahmin ediliyor
ESET araştırmacılarının, incelemelerine son verdikleri tarihte, tüm bu üç cüzdandan alınan toplam para miktarı 4,8 Bitcoin idi ve bu da yaklaşık 40 bin Amerikan dolarına karşılık geliyordu. Anton Cherepanov, “Truva atına dönüştürülmüş Tor Tarayıcısı, QIWI cüzdanlarını da değiştirdiğinden çalınan gerçek para miktarının bundan çok daha yüksek olduğunu düşünüyoruz” bilgisini paylaştı.