Windows Clipper Salgını: Tor ve USB LNK Kurduyla Kripto Vurgunu Nasıl Yapılıyor?
Microsoft, Şubat 2026’dan bu yana kullanıcıları hedef alan ve Windows clipper saldırıları gerçekleştiren CryptoBandits adlı zararlı yazılım kampanyasının ayrıntılarını paylaştı. Bu saldırılar, pano (clipboard) içeriğini izleyerek kripto para işlemlerini hedef alıyor ve kendi kendine yayılabilme yeteneğiyle dikkat çekiyor. Failler, iletişimlerini gizlemek için Tor anonimlik ağını kullanıyor. Bu durum, siber güvenlik dünyasında yeni bir endişe dalgası yarattı.
Zararlı Yazılımın Teknik Yapısı ve İşleyişi
Microsoft Defender Güvenlik Araştırma Ekibi’nin analizine göre, bu kampanyada kullanılan clipper zararlısı, Windows Script Host (WScript) ve ActiveX tabanlı mantığı kullanarak çalışıyor. Zararlı, sistemde yerel bir Tor proxy’si başlatıyor ve gizli bir sunucuya – yani komuta ve kontrol (C2) sunucusuna – bağlanarak düzenli olarak bilgi sorguluyor. Bu saldırı zinciri, yüksek frekansta pano hırsızlığı, ekran görüntüsü sızdırma ve cüzdan adreslerini değiştirme gibi eylemleri içeriyor. Bu tür bir saldırının farkı, geleneksel bir yükleyiciye veya açıkça görünen IP tabanlı C2 altyapısına dayanmamasıdır. Bunun yerine, taşınabilir bir Tor istemcisini dağıtıyor, trafiği yerel bir SOCKS5 proxy üzerinden yönlendiriyor ve veri hırsızlığını uzaktan kod yürütme ile birleştirerek, finansal motivasyonlu bir hırsızlık aracını hafif bir arka kapıya dönüştürüyor. Siber güvenliğin bu yeni yüzü, saldırganların yöntemlerini ne kadar karmaşıklaştırdığını gösteriyor.
Clipper Malware Nedir ve Kripto Paraları Nasıl Hedef Alır?
Clipper zararlı yazılımı, bir kullanıcının panosunu sessizce izleyen ve kısa süreli belleğe yapıştırılan hassas verileri ele geçiren kötü amaçlı bir yazılım türüdür. Bu zararlılar, özellikle kripto para işlemlerini hedef alıyor. Saldırganlar, bilinen blok zinciri adres kalıplarına uyan cüzdan adresi dizelerini kendi kontrollerindeki adreslerle değiştirerek işlemleri kendi ceplerine yönlendiriyor. Bir kullanıcının panosuna kopyaladığı cüzdan adresi, otomatik olarak saldırganın belirlediği başka bir adrese dönüşüyor. Bu durum, kullanıcıların farkında bile olmadan yatırımlarını kaybetmelerine yol açabiliyor. Bu tür bir manipülasyon, özellikle kripto paraların popülerliğinin arttığı günümüzde büyük bir risk teşkil ediyor. Güvenliğiniz için cüzdan adreslerini yapıştırdıktan sonra mutlaka iki kez kontrol etmelisiniz. Bu temel güvenlik adımı, sizi ciddi maddi kayıplardan koruyabilir.
USB LNK Zararlısı ile Yayılma Mekanizması
Bu saldırı kampanyasında kullanılan zararlının yayılma yöntemi oldukça ustaca tasarlanmış. Saldırılar, genellikle USB depolama aygıtları aracılığıyla zararlı bir Windows Kısayol (LNK) dosyasının dağıtılmasıyla başlıyor. Bu LNK dosyası çalıştırıldığında, bir solucan (worm) bileşeni devreye giriyor. Bu bileşen, sistemin zaten enfekte olup olmadığını kontrol ediyor ve eğer enfeksiyon yoksa, zararlı yükü uzak bir sunucudan çekmeye devam ediyor. İkinci bir modül ise kripto para cüzdan bilgilerini toplayıp sızdıran clipper bileşeni. LNK yükü, USB aygıtındaki DOC, XLSX ve PDF gibi yaygın belge türlerini tarıyor. Eğer bu tür dosyalar bulunursa, saldırganlar bu dosyaları gizleyip, aynı dosya adlarına sahip ve solucan bileşenine işaret eden argümanlar içeren yeni LNK dosyaları oluşturuyor. Böylece, masum bir kullanıcı bir belgeyi açtığını düşünerek kısayola tıkladığında, aslında zararlının çalışmasını tetiklemiş oluyor. Bu durum, zararlıların ne kadar incelikli sosyal mühendislik taktikleri kullandığını gözler önüne seriyor. Kötü amaçlı bir yazılımın bu şekilde yayılması, kullanıcıların dikkatli olmasını gerektiriyor.
Kalıcılık ve Tespit Edilmeme Taktikleri
Solucan bileşeni, sadece diğer temiz USB sürücülerine yayılmakla kalmıyor, aynı zamanda hem solucan bileşeni hem de hırsızlık bileşeni için kalıcılık sağlamak amacıyla zamanlanmış görevler (scheduled tasks) oluşturuyor. Clipper bileşeni ise sistemle etkileşim kurmak için WScript ve ActiveXObject’i kullanıyor. Tespit edilmekten kaçınmak amacıyla, eğer Görev Yöneticisi (Task Manager) aktif çalışan işlemler listesindeyse, zararlı kendini kapatıyor. Bu, zararlının arka planda sessizce çalışmasını ve kullanıcı tarafından fark edilmemesini sağlıyor. Son aşamada, zararlı yeniden adlandırılmış bir Tor ikili dosyasını gizli bir pencerede başlatıyor, benzersiz bir kurban kimliği oluşturuyor ve bu kimliği harici sunucuya kaydediyor. Bu adım tamamlandıktan sonra, zararlı sürekli bir döngüye giriyor. Bu döngüde, C2 sunucusundan periyodik olarak talimatlar alırken, aynı zamanda yaklaşık her 500 milisaniyede bir panoyu izleyerek tohum ifadelerini (seed phrases) ve özel anahtarları (private keys) çıkarıyor. Hatta saldırganların sağladığı kodu çalışma zamanında (runtime) yürütme yeteneğine de sahip. Bu, zararlının sadece veri çalmakla kalmayıp, aynı zamanda sistem üzerinde tam kontrol sağlama potansiyeline işaret ediyor.
Windows Clipper Saldırıları: Şimdi Ne Olacak?
Microsoft’un bu kampanyayı ifşa etmesi, siber güvenlik camiasında önemli bir gelişme olarak görülüyor. Kripto para birimlerinin giderek daha fazla benimsenmesiyle birlikte, bu tür zararlı yazılımların hedeflediği finansal değer de artıyor. CryptoBandits kampanyası, zararlıların Tor gibi anonimlik araçlarını kullanarak operasyonlarını ne kadar gizleyebildiğini gösteriyor. Bu durum, kolluk kuvvetleri ve güvenlik araştırmacıları için bu tür tehditleri izlemeyi ve durdurmayı daha da zorlaştırıyor. Türk kullanıcılar için de bu durum, dijital varlıklarını koruma konusunda ekstra bir özen göstermeleri gerektiği anlamına geliyor. Güvenlik yazılımlarınızı güncel tutmak, bilinmeyen kaynaklardan gelen dosyalara karşı dikkatli olmak ve özellikle cüzdan adreslerini kopyalayıp yapıştırdıktan sonra mutlaka kontrol etmek hayati önem taşıyor. Bu gelişmeler ışığında, bireysel kullanıcıların ve kurumların siber güvenlik stratejilerini gözden geçirmesi ve proaktif önlemler alması kaçınılmaz hale geliyor. Gelecekte bu tür saldırıların daha sofistike hale gelmesi bekleniyor, bu nedenle sürekli bir farkındalık ve adaptasyon gerekliliği ortaya çıkıyor.
