Siber güvenlik araştırmacıları, truva atına dönüştürülmüş Tor Tarayıcısı’nın yıllardır fark edilmeden varlığını sürdürdüğüne dikkat çekti. Araştırmayı yürüten ESET Kıdemli Güvenlik Araştırmacısı Anton Cherepanov, şu bilgileri paylaştı: “Bu berbat gayeli yazılım, arkasındaki siber suçlulara kurbanın hangi web sitesini ziyaret ettiğini görebilmelerini sağlıyor. Saldırganlar teoride, ziyaret edilen sayfanın içeriğini değiştirebiliyor, kurbanın formlara girdiği dataları ele geçirebiliyor, uydurma iletiler görüntüleyebiliyor ve en dikkat çekicisi; kripto para ünitesi cüzdanlarını değiştirebiliyorlar.”
Tor Tarayıcısı nedir?
Tor Tarayıcılar, interneti anonim bir biçimde kullanmayı ve internet servis sağlayıcılarının kural ve kontrollerini aşmayı sağlıyor. Bu nedenle saklılığa yönelmek isteyen kullanıcılar Tor’u tercih ediyor. Bu saklılık, tarayıcının tüm interneti ‘the Onion Router’ ismi verilen ağdan sunması ile sağlanıyor. Bu ağ, internet trafiğini farklı bilgi merkezlerine dağıtarak ve bilgiyi şifreleyerek kullanıcıların kimliklerini maskeliyor. Tor Tarayıcılar, Darknet‘e (karanlık internet) girmenin birinci yolunu oluşturuyor.
Rusça konuşan şahıslar maksat alınıyor
ESET Araştırmacısı Anton Cherepanov’e nazaran, truva atına dönüştürülmüş Tor Tarayıcısı, Tor ağının Rusça konuşan kullanıcılarını gaye alıyor. Hatalılar, makus gayeli yazılımın yüklü olduğu tarayıcının yayılmasını sağlamak için, çeşitli platformlarda bunu Tor Tarayıcısı’nın resmi Rusça versiyonu olarak tanıttılar. Maksatları, bu lisanı konuşan kurbanlarını, ziyanlı olan ancak yasal görünen web sitelerine gitmeleri için kandırmaktı.
Sistem nasıl çalışıyor?
Anton Cherepanov, işleyişi söyle tanım etti: “İlk web sitesinde, gerçek olsun yahut olmasın, kullanıcı Tor Tarayıcısı’nın yeni olmadığı ikazını alır. Bu yemi yutanlar, içerisinde yükleyicinin yer aldığı ikinci bir web sitesine yönlendirilir. Yükleme sürecinin akabinde, truva atına dönüştürülmüş Tor Tarayıcısı’nın fonksiyonları tam bir uygulama haline gelir. Hatalılar, Tor Tarayıcısı’nın ikili bileşenlerini değiştirmemişler, bunun yerine ayarlar ve uzantılarda değişiklik yapmışlar. Sonuç olarak, teknik manada bilgili olmayan beşerler özgün versiyon ile truva atına dönüştürülmüş versiyon ortasında rastgele bir fark göremeyecektir.”
Kripto para nasıl çalınıyor?
Siber hatalıların yaptığı değişiklikler ortasında tarayıcıya bir JavaScript yükü sunulması da var. ESET araştırmacılarının gördükleri JavaScript yükü, Rusça konuşulan en büyük üç karanlık internet pazarını maksat alıyor. Bu yük, QIWI’yi (popüler bir Rus para transfer hizmeti) ya da bu pazarlardaki sayfalarda bulunan sanal para cüzdanlarını değiştirmeye çalışıyor.
Kurban, direkt sanal para ödemesini kullanarak hesabına para eklemek için profil sayfasını ziyaret ettiğinde, truva atına dönüştürülmüş Tor Tarayıcısı orjinal sanal para adresini hatalılar tarafından denetim edilen adresle otomatik olarak değiştiriyor.
Üç sanal para cüzdanı saptandı
Cherepanov, “Soruşturmamız esnasında, 2017 yılından beri bu kampanyada kullanılan üç sanal para cüzdanı saptadık. Her bir cüzdanda çok sayıda küçük süreç yer alıyordu. Bunu, kelam konusu cüzdanların truva atına dönüştürülmüş Tor Tarayıcısı tarafından kullanıldığına dair bir ispat olarak ele alıyoruz” diye konuştu.
40 bin dolardan fazla para çalındığı iddia ediliyor
ESET araştırmacılarının, incelemelerine son verdikleri tarihte, tüm bu üç cüzdandan alınan toplam para ölçüsü 4,8 Bitcoin idi ve bu da yaklaşık 40 bin Amerikan dolarına karşılık geliyordu. Anton Cherepanov, “Truva atına dönüştürülmüş Tor Tarayıcısı, QIWI cüzdanlarını da değiştirdiğinden çalınan gerçek para ölçüsünün bundan çok daha yüksek olduğunu düşünüyoruz” bilgisini paylaştı.
