Kripto para çalan bir zararlı yazılım kampanyası, sahte popülerlik yaratarak yayılıyor. Check Point Research'in analizine göre, Rust tabanlı bir clipboard hijacker (clipper) kullanılarak Windows ve macOS hedef alınıyor. Bu clipper, kopyalanan kripto cüzdan adreslerini saldırganın kendi adresleriyle değiştiriyor. Tuzaklar, kolay para vaat eden 'uç' araçlar, kripto sniper botları ve iddiaya göre crash-gambling oyunlarını tahmin eden uygulamalar şeklinde sunuluyor.
Kampanya, meşru görünmek için büyük çaba harcıyor. Check Point, saldırganın sahte hesaplardan oluşan 'Ghost Networks' kullanarak sosyal kanıt oluşturduğunu belirtiyor. Altı veya daha fazla GitHub hesabı üzerinden sahte yıldız ve fork ekleniyor, SourceForge'da 44.485 indirme gösteriliyor (Android sürümü olmamasına rağmen), YouTube'da AI sesli anlatıcılar ve sahte izlenme artışları kullanılıyor. Ayrıca VirusTotal'da 'güvenli' oyları ve yorumları yerleştiriliyor.
Virüsün çalışma şekli oldukça basit. Kurban sahte aracı çalıştırdığında bir loader, Rust clipper'ı başlatıyor. Clipper kendini kopyalayarak kalıcı hale geliyor ve başlangıçta çalışıyor. Ardından panoyu kripto cüzdan adresleri için izliyor, bulduğunda 15.500'den fazla adres içeren bir listeden saldırganın adresini yapıştırıyor. macOS sürümünde, kullanıcıya Apple'ın karantina bayrağını kaldırması ve Gatekeeper'ı atlaması için bir 'unlocker' betiği sunuluyor.
Teknik Analiz
Check Point, bu durumu saldırganların güven oluşturma yöntemlerindeki bir değişim olarak değerlendiriyor. Artık zararlı yazılımı gizlemek yerine etrafını olumlu sinyallerle çevreliyorlar. 'Bu teknikler aynı zamanda bilgi çalan veya diğer zararlı yazılım ailelerini dağıtan aktörler tarafından da kötüye kullanılabilir ve daha olgun ortamlarda fidye yazılımı saldırılarına yol açabilir' uyarısında bulunuluyor. Aynı sahte itibar ve geniş tanıtım oyun kitabı, zamanla daha yıkıcı yükler teslim etmek için kullanılabilir.