MistTrack, kripto alanında kullanıcıların cüzdanlarından fon çalan yeni bir tehdidi, bir yazıcı sürücüsünde bulunan bir kaçırma istismarı biçiminde açıkladı.
Son bir yazıda, SlowMist'in siber güvenlik kolu, kripto alanına giren oldukça yeni ama tespit edilmesi zor bir tehdit konusunda farkındalık yarattı. Yüklü bir yazıcı sürücüsü aracılığıyla, kötü niyetli bir arka kapı programı, kullanıcıların panosunu ele geçirip kopyaladıkları kripto cüzdan adresini saldırganınkiyle değiştirme yeteneğine sahip.
“Bu yazıcı tarafından sağlanan resmi sürücü, bir arka kapı programı taşımaktadır. Kullanıcının panosundaki cüzdan adresini ele geçirip saldırganın adresiyle değiştirecektir,” yazdı web3 siber güvenlik platformu.
MistTrack'ten alınan on-chain verilere göre, saldırgan en az 9.3086 Bitcoin (BTC)'ı onlarca on-chain adresten çaldı. Mevcut fiyatlara göre, çalınan fonların toplamı neredeyse 1 milyon dolar veya yaklaşık 989.383 dolar.
Kripto cüzdan adresi 22 Nisan 2016'dan beri aktiftir. Son etkinliklerinden önce, son tespit edilen zincir içi işlem 14 Mart 2024'tedir ve birden fazla kripto borsa ile bağlantılıdır.
Sömürü nasıl çalışır?
Gizli zararlı yazılım istismarları, MistTrack tarafından vurgulanan örnekte olduğu gibi, saldırganların kullanıcı donanımına, örneğin dizüstü bilgisayar, masaüstü bilgisayar veya mobil cihaz gibi, yüklenmesi gereken programlar aracılığıyla kötü amaçlı kod dağıtmasından kaynaklanır. Bu durumda, saldırgan, meşru gibi görünen bir yazıcı sürücüsü aracılığıyla arka kapı programını eklemiştir.
Yüklendikten sonra, sürücü kullanıcının panosunu—kopyalanan verilerin tutulduğu geçici depolama alanını—izleyerek bir kripto para cüzdan adresi arar. Kullanıcı, fon göndermek için bir kripto cüzdan adresi gibi görünen bir şeyi kopyaladığında, kötü amaçlı yazılım bunun yerine saldırganın kripto cüzdan adresi ile değiştirir.
Kullanıcı panodan orijinal kripto cüzdan adresi olduğunu düşündüğü şeyi yapıştırdığında ve ele geçirilmiş değişikliği fark etmediğinde, fonlar hedef alıcı yerine saldırganın cüzdanına gönderilir.
Mart 2025'te CyberArk tarafından vurgulanan benzer bir istismar, MassJacker adlı bir kötü amaçlı yazılımı içeriyordu. Bu kötü amaçlı yazılım, saldırgana kullanıcının panosuna erişme imkanı tanıyarak orijinal kripto cüzdan adresini değiştirmesine ve kripto para işlemlerini saldırganın kontrolündeki cüzdanlara yönlendirmesine olanak sağladı, böylece mağdurun cüzdanından fonları etkili bir şekilde çaldı.
Yazıcı sürücü açığına benzer şekilde, MassJacker tekrar eden bir adres yerine 750,000'den fazla benzersiz adres kullandı. Kötü amaçlı yazılım, resmi olmayan web sitelerinden indirilen korsan ve kırık yazılımlar aracılığıyla kullanıcıların donanımına sızmayı başardı.
View Original
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Yazıcı istismarı, kripto para cüzdanlarına yeni bir tehdit ortaya çıkarıyor
MistTrack, kripto alanında kullanıcıların cüzdanlarından fon çalan yeni bir tehdidi, bir yazıcı sürücüsünde bulunan bir kaçırma istismarı biçiminde açıkladı.
Son bir yazıda, SlowMist'in siber güvenlik kolu, kripto alanına giren oldukça yeni ama tespit edilmesi zor bir tehdit konusunda farkındalık yarattı. Yüklü bir yazıcı sürücüsü aracılığıyla, kötü niyetli bir arka kapı programı, kullanıcıların panosunu ele geçirip kopyaladıkları kripto cüzdan adresini saldırganınkiyle değiştirme yeteneğine sahip.
“Bu yazıcı tarafından sağlanan resmi sürücü, bir arka kapı programı taşımaktadır. Kullanıcının panosundaki cüzdan adresini ele geçirip saldırganın adresiyle değiştirecektir,” yazdı web3 siber güvenlik platformu.
MistTrack'ten alınan on-chain verilere göre, saldırgan en az 9.3086 Bitcoin (BTC)'ı onlarca on-chain adresten çaldı. Mevcut fiyatlara göre, çalınan fonların toplamı neredeyse 1 milyon dolar veya yaklaşık 989.383 dolar.
Kripto cüzdan adresi 22 Nisan 2016'dan beri aktiftir. Son etkinliklerinden önce, son tespit edilen zincir içi işlem 14 Mart 2024'tedir ve birden fazla kripto borsa ile bağlantılıdır.
Sömürü nasıl çalışır?
Gizli zararlı yazılım istismarları, MistTrack tarafından vurgulanan örnekte olduğu gibi, saldırganların kullanıcı donanımına, örneğin dizüstü bilgisayar, masaüstü bilgisayar veya mobil cihaz gibi, yüklenmesi gereken programlar aracılığıyla kötü amaçlı kod dağıtmasından kaynaklanır. Bu durumda, saldırgan, meşru gibi görünen bir yazıcı sürücüsü aracılığıyla arka kapı programını eklemiştir.
Yüklendikten sonra, sürücü kullanıcının panosunu—kopyalanan verilerin tutulduğu geçici depolama alanını—izleyerek bir kripto para cüzdan adresi arar. Kullanıcı, fon göndermek için bir kripto cüzdan adresi gibi görünen bir şeyi kopyaladığında, kötü amaçlı yazılım bunun yerine saldırganın kripto cüzdan adresi ile değiştirir.
Kullanıcı panodan orijinal kripto cüzdan adresi olduğunu düşündüğü şeyi yapıştırdığında ve ele geçirilmiş değişikliği fark etmediğinde, fonlar hedef alıcı yerine saldırganın cüzdanına gönderilir.
Mart 2025'te CyberArk tarafından vurgulanan benzer bir istismar, MassJacker adlı bir kötü amaçlı yazılımı içeriyordu. Bu kötü amaçlı yazılım, saldırgana kullanıcının panosuna erişme imkanı tanıyarak orijinal kripto cüzdan adresini değiştirmesine ve kripto para işlemlerini saldırganın kontrolündeki cüzdanlara yönlendirmesine olanak sağladı, böylece mağdurun cüzdanından fonları etkili bir şekilde çaldı.
Yazıcı sürücü açığına benzer şekilde, MassJacker tekrar eden bir adres yerine 750,000'den fazla benzersiz adres kullandı. Kötü amaçlı yazılım, resmi olmayan web sitelerinden indirilen korsan ve kırık yazılımlar aracılığıyla kullanıcıların donanımına sızmayı başardı.