Bir başkasının MetaMask cüzdanı dahil bilgisayarındaki bütün parolalarını ele geçirebileceğinizi biliyor muydunuz?
Sizin için dark web’i altüst ederek kripto paralarınızı çalmak üzere tasarlanmış zararlı bir yazılımı sadece $160 vererek satın alıp test ettim!
Hayatınızın her gün bir parçası olan ve sabah akşam durmadan kullandığınız internet, aslında buzdağının sadece görünen tarafı! Bir de buzdağının görünmeyen tarafları var ki, çoğu zaman “deep web”*¹ veya “dark web”*² olarak anılabiliyor. Kötü niyetli hackerlar her geçen gün metotlarını geliştirmeye devam ediyor. Bu gelişmeye bağlı olarak ortaya çıkan yepyeni bir virüsümüz*³ var! Eğer siz de kripto para veya NFT işlemleri için MetaMask gibi tarayıcı üzerindeki kripto para cüzdanlarını kullanıyorsanız, harika bir hedefsiniz.
“Mars Stealer”*⁴ adını taşıyan bir zararlı yazılım bilgisayarınıza bulaşarak 40'a yakın kripto para cüzdanından kripto paralarınızı çalmayı hedefliyor. Ancak elbette onunla da kalmıyor, aynı zamanda GAuth Authenticator, EOS Authenticator veya Authy gibi popüler 2FA (iki aşamalı doğrulama) yazılımlarını da tehdit ediyor. Bir güvenlik uzmanı olarak aklıma hemen şu soru geliyor, “Bunu nasıl yapıyor ve nasıl korunabiliriz?”
Gelin detaylara girmeden önce tutkunu olduğum Witcher serisinden size bir hikaye anlatayım.
Kanlı geçen Sodden Hill*⁵ savaşından sonra, bir Nilfgaard*⁶ kumandanı olan Cahir*⁷, Aretuza’da*⁸ savaş esiri olarak tutulur. Ondan bilgi almak isteyen büyücüler her ne kadar ona işkence uygulasalar da ondan herhangi bir bilgi alamazlar. Bilgileri edinmek için çok daha farklı bir yönteme ihtiyaç vardır. Bu yöntem, büyücüler arasında bile illegal olan, zihin okumadır.
Hikayenin bu kısmında görürüz ki önce Tissaia de Vries’i*⁹, Cahir’in kafasından tutarak bütün geçmişini ve yaşadıklarını görmeye çalışacaktır. Daha sonra bu yöntem yine aynı şekli ile Stregobor*¹⁰ tarafından, savaş sonrası uzun süredir kayıp olan Yennefer*¹¹ üzerinde de uygulanacaktır.
Bu yöntem sayesinde bir kişiden rızası dışında çok hayati bilgiler almak mümkün olmaktadır.
Tıpkı bu hikayede olduğu gibi, bu sefer büyü kullanarak olmasa da, bir zararlı yazılım kullanarak aynı büyücülerin kişilerin geçmişini aldığı gibi biz de bir başkasına ait verileri almaya çalışacağız.
Zararlı Yazılımın Satın Alınması
Dark web’i biraz taradıktan sonra, ürünün tanıtımını yaptıkları bir siteye denk geldim.
Maalesef Rusça bilmiyorum. Bu nedenle yazılanları Google Translate aracılığıya İngilizce’ye çevirip anlamaya çalıştım.
Sayfanın en altında standart sürümün $140 olduğunu gördüm. Aynı zamanda bir de gelişmiş bir sürüm var ki (daha fazla özellik sunuyor) onu da $160'a satıyorlar. Yazıyı biraz daha inceledim, bir de telegram hesapları var. Zaten bu yazıyı yayınladıktan sonra kim olduğum ortaya çıkacağı için kimliğimi gizlemeden direkt olarak onlarla iletişime geçtim. Bakın konuşmalarımız nasıl gelişti.
Görsellerde çeşitli bilgileri güvenlik ve gizlilik amacı ile maskeliyorum. Ancak tüm bilgiler zaten kısa bir araştırma ile herkesin ulaşabileceği şeyler.
İsmimi görünce arkadaşın nasıl şaşırdığını siz de (“wow”) görebilirsiniz. 😏
Konuşmalarımız içerisinde her şeyin ne kadar kurumsal geliştiğine çok şaşırdım. Bütün bana yazdıkları mesajlar çok direkt bir şekilde yönlendirme içeriyordu. Anladığım kadarıyla çok ciddi bir zaman ve bilgi yatırımı yapılmış. Açıkçası aldığım hizmetten çok memnun kaldım diyebilirim. Maalesef günümüzde yasadışı olmayan işler yapan firmalardan bu kalitede bir hizmet alamıyoruz! Keşke bu kadar kaliteli hizmet verecek kabiliyetteki insanlar yasa dışı işler yapmasalar mı? Kullandığım Ethereum hesaplarından birisi ile, satın almayı gerçekleştirdim. Onlar da ödeme sonrası işlemin 12 onay*¹² almasını bile beklemeden ihtiyacım olacak dosyayı bana gönderdiler.
Zararlı Yazılımın Paket İçeriği
Bir güvenlik uzmanı olarak bu tarz zararlı yazılımlarla işlem yaparken kendi sistemlerim etkilenmesin diye tamamen ayrı, izole edilmiş bir linux sistemim var. Dosyayı oraya aktararak içinde neler olduğuna bir göz attım.
Dosya içeriğinde bir veritabanı, kurulumların nasıl yapılacağına dair detaylı adım adım ilerleyen anlatımlar, ve yönetim panelinin ana dosyaları bulunuyor. Maalesef dosyalar içerisindeki tüm anlatımlar Rusça dilinde ve kullanmak için tek tek İngilizce’ye çevirmek zorunda kalıyorsunuz. Burada hizmetten puan kırıyorum! 😅
Zararlı Yazılımın Kurulumu
Çeviri işini bitirdikten hemen sonra kurulumlara geçtim. Bu yazılım nasıl çalışıyor, satın alan kötü niyetli hacker’a neler vaadediyor ve toplamda sadece 200 dolar gibi küçücük bir maliyetle ne gibi zararlar verebilir, bunu gözler önüne sermek istedim.
Digitalocean üzerinde Mars Stealer zararlı yazılımının komuta merkezi olacak 20 dolarlık bir ubuntu sunucusunu tercih ettim. Eğer bir kurbana bu virüs bulaşırsa tüm detayları buradan görebileceğiz.
Gelen dokümanlar içerisinde phpmyadmin, mysql vb. kurulumlar yapmam istendi ve hızlıca bu kurulumları gerçekleştirdim..
Sunucu kurulumları bittikten sonra bana gönderdikleri veritabanını içeri aktararak gerekli ayarları yaptım. Dokümantasyon içerisinde istenen her şey aslında bu kadardı ve işte “Mars Stealer Yönetim Paneli” karşımızda duruyor!
Zararlı Yazılımın Yönetim Paneli
Diğer adımlara geçmeden önce bu panelde ne gibi ekranlar olduğuna hızlıca göz atalım. İşlem kayıtlarının (log) tutulduğu ayrı bir ekran bulunuyor. Aynı zamanda tüm ayarları yapılandırabildiğiniz bir ayarlar (settings) bölümü de mevcut.
İlk bakış için gayet güzel ve kullanımı kolay olan bir panel hazırladıklarını söyleyebilirim.
Zararlı Yazılımın Testleri
Bu aşamada, kayıtların gelip gelmediğini test etmemiz gerekiyor. Sonrasında zararlı yazılımın benim için hazırlanmış halini Mars Stealer ekibinden almam gerekiyor.
Tekrar Telegram üzerinden iletişime geçtik ve log testi sonucunda kayıtların yönetim paneline gelip gelmediğini teyit ettik. Gördük ki geliyorlar. 😈
Hemen ardından benim için hazırlanmış dosyayı gönderdiler. Hizmette sınır tanımıyorlar! 😂
Zararlı Yazılımı Kullanmak
Son durumda artık her şeyimiz hazırdı. Artık tek yapmam gereken zararlı yazılımı bir kurbana bulaştırmak!
Bunun için bir tanıdığımdan artık kullanmayacağı bir Windows laptop rica ettim. Zaten emekliye ayrılma zamanı gelmişti. Tabi zararlı yazılımı bulaştırmadan önce bilgisayar üzerinde MetaMask, Nifty Wallet, Binance Chain Wallet, Exodus ve EOS Authenticator gibi uygulamaları yükleyerek hesaplar açtım.
Kurbanımız artık zararlı yazılıma maruz kalmak için hazır.
Ancak ben işi biraz daha eğlenceli ve gerçekçi kılmak için kurbana özel bir oltalama (phishing)*¹³ e-postası hazırladım. 😆
Eğer kurbanın Ledger (bir soğuk kripto para cüzdanı) kullandığını biliyorsam ya da kullanma ihtimalini yüksek görüyorsam, yukarıdaki gibi sahte bir e-posta ile zararlı yazılımı indirmesini sağlayabilirim. Kurbana gönderilen bu e-posta sanki Ledger cihazlarda büyük bir güvenlik zafiyeti çıkmış da acilen güncelleme gerektiğini belirten bir ibare içeriyor. “Update Your Ledger” butonuna tıklandığında ise, zararlı yazılım kişinin bilgisayarına inmiş oluyor.
Eğer kurbanımız inen dosyayı açarsa zararlı yazılımı oltalama saldırısı ile bulaştırmış oluyoruz. Hemen vakit kaybetmeden sunucumuza kurduğumuz yönetim paneline gidiyorum ve kayıtların oluştuğunu görüyorum:
Burada gördüğümüz ilk kayıt hackerlar ile yaptığımız test için oluşmuştu. İkinicisi ise, kurbanımıza ait! Zaten IP adresinin yanında Türk bayrağı olduğunu göreceksiniz. Actions kısmında bulunan indirme butonuna basarak kayıtları indiriyorum. Dosyalara baktığımızda içinde neler olduğunu görebiliriz.
Kurbanın Dosyalarını İncelemek
Ana klasöre göz attığımızda, kurbanın masaüstüne ait bir adet ekran görüntüsü (screenshot) olduğunu görebiliyoruz. Ayrıca içeride daha bir sürü klasör ve dosya var. Hadi hızlıca bunların neler olduğuna da bakalım.
İlk olarak “system.txt” dosyasına bakıyoruz.
Bu dosyada kurbana ait IP adresini, zararlı yazılımın çalıştığı dosya yolunu, taşınabilir bir bilgisayar olup olmadığını, donanımına ait bilgileri ve hatta yüklü yazılımları dahi görebiliyoruz. Bu liste çok uzundu, lakin kısaltmak amacı ile sadece bir kısmını sizinle paylaşıyorum.
Diğer bilgilere doğru ilerlemeden önce şunu belirtmeliyim ki sadece bu bilgiler dahi kurbana yapılacak başka türde saldırılar için inanılmaz değerli bilgiler ortaya koyuyor.
Şimdi de ana dizinde bulunan “passwords.txt” dosyasına bakalım.
İnanılmaz! Google Chrome tarayıcısında kayıtlı olan bütün parolalara eriştik! Hatta parolaların hepsinde maalesef aynı parola kullanılmış! Burada kullanılan antivirüs yazılımının dahi giriş bilgilerini elde ettik. Aklıma hemen şu soru geliyor. “Acaba buraya login olup uzaktan antivirüs yazılımını devre dışı bırakabilir miyim? Ya da lisansını silebilir miyim?” Biraz aşağılara inince e-Devlet parolasına da ulaştığımızı görüyoruz. Artık kurban her yönüyle elimizde…
Artık kalan klasörlerin içinde neler olduğunu inceleyebiliriz. İlk olarak Autofill klasörüne erişiyorum ve beni içeride “Chrome_Default.txt” adında bir dosya karşılıyor. Bunu açtığımda ise…
Karşımızda tarayıcıda kayıtlı olan otomatik doldurma bilgilerini görüyoruz. Eğer buraya çok fazla kişisel veri kaydedildi ise vay halimize!
Bir sonraki klasörümüz “Cookies” klasörü. Buraya girdiğimizde ise tarayıcıda kayıtlı bütün çerezleri görebiliyoruz.
Derinlere girdikçe iş daha da çirkinleşiyor değil mi? Kripto para cüzdanlarına geçmeden önce hızlıca başka neler elde etmişiz bir bakalım.
“Downloads” klasörü altında indirilen dosyaların kayıtları:
“History” klasörü altında ise tarayıcı geçmişi:
Ve sonunda en heyecanlı iki kısma geldik. “Plugins” klasörüne girmeden önce bilgisayarda uygulama olarak yüklü hangi kripto para cüzdanları var görmek için “Wallets” klasörüne gidiyorum. Ve içeride “Exodus” diye bir dizin daha görüyorum. Şimdi o dizini açtığımızda karşımıza bu dosyalar gelecek:
“passphrase.json” dosyasının içini görmek ister misiniz? O zaman buyrun…
Kurbanımızın sadece kişisel bilgileri değil, finansal verileri de elimizde. Bu aşamada ne kadar korkutucu şeyler yaşanabileceğini görmüş oluyoruz. 😳
Son adıma geldik. “Plugins” klasörünü açtığımızda, tüm cüzdanları ve 2FA uygulamalarını görebiliyorum.
Örnek olması açısından bir de MetaMask klasörünün içinde neler var birlikte bakalım.
Her ne kadar bunlar bize anlamsız dosyalar gibi gözükse de, bu verileri ele geçiren kişi, doğru adımları atarak kripto paralarınızı çalabilir! O zaman hadi birlikte bu MetaMask hesabını ele geçirelim!
MetaMask Cüzdanını Ele Geçirme
Bu veriler tarayıcıdan çalınan veriler olduğu için aklıma hemen bir metot geldi. Kendi bilgisayarımda Chrome tarayıcısında MetaMask cüzdanı sıfırdan yüklersem ve tarayıcının cüzdan verilerini tuttuğu dizindeki dosyaları bu dosyalar ile değiştirirsem, cüzdana erişebilmem mümkün olmalı. Hadi deneyelim.
Mac kullanıcıları Chrome Eklentilerine ait dosyaları genellikle aşağıdaki dizinde bulabilirler:
/Users/{mac_user}/Library/Application Support/Google/Chrome/Default/Extensions
Ben de buraya gidip, ilgili eklentinin içindeki dosyaları değiştirerek, tarayıcıma geri geldim ve karşımda kurbanın cüzdanı…
İnanılmaz! Ancak hemen heyecanlanmayalım.
Çünkü MetaMask cüzdanın bir parola koruması bulunuyor. Peki bu parolayı bilmeseydim neler yapabilirdim? Eğer kurbanımız MetaMask parolasını da Chrome’da kayıtlı parolalar arasında saklıyorsa işimiz çok kolay. Orada saklamasa bile kayıtlı parolalarında genellikle aynı parolaları seçiyorsa (ki bu örnekte olduğu gibi) onları deneyebilirim. Hiçbiri işe yaramadı ise, bu konuda yaptığım araştırmalara göre, bu parolayı elde etmem için yine ücretli satılan uygulamalar mevcut.
Hacker’lar genellikle bu tarz zararlı yazılımları bilgisayarınıza bulaştırırken bu parolayı da alacak şekilde (keylogger*¹⁴, zararlı eklentiler vb) kendilerini organize ederler. Yani kötü niyetli bir hacker sadece dosyalarınızı çalmayacak, aynı zamanda cüzdanlarınıza ait parolaları da ele geçirmeye çalışacaktır.
Unutmayın ki bu yazılım yasal değildir, bu yazı sizleri bilinçlendirmek amacıyla bir araştırmanın sonucunda ortaya çıkmıştır. Lütfen bu tarz yazılımları kullanmayınız, kullananları desteklemeyiniz ve bu tarz bir yazılım yüzünden mağdur olan kişiler için aşağıda size vereceğim korunma yöntemlerini uygulayınız.
Zararlı Yazılımlardan Korunmanızı Sağlayacak 5 Yöntem
Gelelim fasulyelerin faydalarına, bu tarz saldırılardan korunmak için neler yapabileceğinizi 5 maddede özetledim.
- Lisansı bozulmuş (Crack’li), illegal dosyaları (torrent, oyun, yazılım, işletim sistemi) vb. asla indirmeyin ve kullanmayın. Kimse babasının hayrına yazılımlara crack üretmiyor. Unutmayın, bedava peynir sadece fare kapanında bulunur. 😎
- Tarayıcı tabanlı cüzdanlarda (sıcak cüzdanlar) mümkünse büyük meblağlar bulundurmayın, bunlar için donanım cüzdanları (soğuk cüzdanlar) kullanın.
- Kaynağına güvenmediğiniz, üreticisini doğrulamayamadığınız yazılımları yüklemekten ve kullanmaktan kaçının.
- Size gelen linkleri her zaman çifte kontrolden geçirin. Tanımadığınız, bilmediğiniz veya şüphelendiğiniz linklere asla tıklamayın.
- Güvenlik sadece birkaç önlemden ibaret değildir, bir yaşam biçimidir. Güvenliği yaşam biçiminiz haline getirin.
Son olarak;
Benden size tavsiye! Önlemini Al Sonradan Üzülme!
Kaynaklar ve Açıklamalar
*¹: Deep web — Wikipedia
*²: Dark web — Wikipedia
*³: Trojan horse (computing)
*⁴: Mars Stealer: Oski refactoring
*⁵: Battle of Sodden Hill
*⁶: Nilfgaardian Empire
*⁷: Cahir Mawr Dyffryn aep Ceallach
*⁸: Aretuza
*⁹: Tissaia de Vries
*¹⁰: Stregobor
*¹¹: Yennefer of Vengerberg
*¹²: What number of confirmations is considered secure in Ethereum?
*¹³: Phishing — Wikipedia
*¹⁴: Keystroke logging — Wikipedia
- Mars Stealer, 2020'de popüler olan Oski Stealer’ın gelişmiş bir versiyonu. Oski Stelar ile ilgili detaylı bilgi için: Meet Oski Stealer: An In-depth Analysis of the Popular Credential Stealer
- Mars Stealer’ın teknik incelemesi için: https://twitter.com/3xp0rtblog/status/1424638227160473602
