Kripto para piyasasına ilgi arttıkça, kripto para birimlerini hedef alan saldırılar da çoğalıyor. Microsoft tarafından yayımlanan son blog gönderisi de kripto cüzdanlarına saldırıların arttığını gözler önüne seriyor. Bu kez tehdidin adı Cryware.

Microsoft: Cryware, Kripto Cüzdanlarının Peşinde

Microsoft, güvenlik odaklı yeni bir blog yazısı yayımladı. Yazıda, kötü amaçlı yazılım ve tekniklerdeki artışın yanında Cryware isimli yeni bir tehdide de vurgu yapılıyor.

Cryware, sıcak kripto cüzdanlarını hedefleyen bir tür veri hırsızı olarak tanımlanabilir. Sıcak cüzdanlar, soğuk cüzdanların aksine, bir cihazda yerel olarak tutuluyor. Burada işlemleri tamamlamak için gereken kriptografik anahtarlara daha kolay erişim sağlanıyor. Bu da doğrudan tehdidi artırıyor.

Microsoft 365 Defender Analysis Workforce’tan Berman Enconado ve Laurie Kirk şu yorumlarını okurlarla paylaşıyor:

“Kripto para biriminin artan popülaritesi ile birlikte, cryware tehditlerinin etkisi daha önemli hale geldi”

Daha önce fidye yazılımı dağıtan saldırıları gözlemlediklerini söyleyen ikili, şimdi ise doğrudan hedeflenen bir cihazdan kripto para birimi fonlarını çalmak için ağ yazılımının kullanıldığına dikkat çekti.

Cryware, saldırganların sıcak cüzdan verilerine eriştikten sonra, kurbanın kripto para birimini anında kendi cüzdanlarına taşımasına olanak tanıyor. Blok zinciri işlemleri, bir kullanıcının onayı veya bilgisi olmadan gerçekleştirilse bile kesindir. 

Microsoft raporda bazı Cryware saldırı senaryolarını ve örneklerini de paylaştı.

Örneklerden biri Kırpma ve Değiştirme işlemi sırasında gerçekleştiriliyor. Kırpma ve değiştirme sırasında, bir ağ yazılımı bir kullanıcının panosunun içeriğini izler ve sıcak bir cüzdan adresine benzeyen bir diziyi aramak ve tanımlamak için dizi arama kalıplarını kullanır. Hedef kullanıcı bir uygulama penceresine CTRL + V yapıştırır veya kullanırsa, ağ yazılımı panodaki nesneyi saldırganın adresiyle değiştirir.

Aşağıdaki kod, bu saldırının en basit biçimini bizlere gösteriyor. Bu kod, kopyalanan cüzdan adreslerini izlemek için normal ifadeler kullanıyor ve ardından yapıştırılacak değeri değiştiriyor.

Microsoft‘a göre bu teknik uzun zamandır var ancak yaygınlığı artmış durumda.

Cryware ve diğer sıcak cüzdan saldırılarına karşı şu adımlar atılabilir:

Aktif olarak işlem yapmadığınız zamanlarda sıcak cüzdanları kilitleyin.
Cüzdana bağlı sitelerin bağlantısını kesin.
Özel anahtarları düz metin olarak saklamaktan kaçının.
Bilgileri kopyalayıp yapıştırırken dikkatli olun.
Her işlemden sonra tarayıcı oturumlarının sonlandırıldığından emin olun.
Çok faktörlü kimlik doğrulama (MFA) uygulayan cüzdanlar kullanmayı düşünün.
Cüzdan web sitelerine ve uygulamalarına verilen bağlantılara karşı dikkatli olun.
Sıcak cüzdan işlemlerini ve onaylarını iki kez kontrol edin.
Özel anahtarları veya tohum ifadelerini asla paylaşmayın.
Bir cihaza aktif olarak bağlanması gerekmedikçe bir donanım cüzdanı kullanın.
İndirilen ve kaydedilen dosyaların dosya uzantılarını ortaya çıkarın.