Anasayfa
Canlı Borsa
Borsa
Döviz Kurları
Altın
Hisse Senetleri
Endeksler
Kripto Paralar
Döviz Hesaplama
Döviz Çevirici
Kredi Arama
admin
Kötü amaçlı bir kampanya, yüzlerce tarayıcı uzantısı, web sitesi ve kötü amaçlı yazılım aracılığıyla üçlü saldırı türü kullanarak 1 milyon dolardan fazla kripto para çaldı, siber güvenlik firması Koi Security açıkladı.
Koi Security araştırmacısı Tuval Admoni Perşembe günü, şirketin “GreedyBear” olarak adlandırdığı kötü niyetli grubun “endüstriyel ölçekli kripto hırsızlığını yeniden tanımladığını” söyledi.
“Çoğu grup tek bir alana odaklanır — belki tarayıcı uzantıları yaparlar, ya da fidye yazılımına yoğunlaşırlar ya da dolandırıcı oltalama siteleri işletirler — GreedyBear ise ‘Neden üçünü birden yapmayalım?’ dedi. Ve bu muhteşem şekilde işe yaradı,” dedi Admoni.
GreedyBear’ın gerçekleştirdiği saldırı türleri daha önce de kullanılmıştı, ancak rapor, siber suçluların artık kripto kullanıcılarını hedeflemek için karmaşık dolandırıcılık yöntemlerini bir arada kullandığını vurguladı. Admoni, bunun dolandırıcıların “küçük düşünmeyi bıraktığını” gösterdiğini belirtti.
150’den fazla sahte kripto tarayıcı uzantısı
Admoni’ye göre, 650’den fazla kötü amaçlı araçla 1 milyon dolardan fazla kripto çalındı ve bu araçlar özellikle kripto cüzdan kullanıcılarını hedefliyor.
Grup, Firefox tarayıcı pazarına 150’den fazla kötü amaçlı uzantı yayımladı; bunların her biri MetaMask, TronLink, Exodus ve Rabby Wallet gibi popüler kripto cüzdanlarını taklit edecek şekilde tasarlandı.
Kötü niyetli aktörler, önce meşru bir uzantı oluşturarak pazar yerlerinin kontrollerini aşan ve daha sonra bu uzantıyı kötü amaçlı hale getiren “Uzantı Boşaltma (Extension Hollowing)” tekniğini kullanıyorlar.
Admoni, kötü amaçlı uzantıların sahte cüzdan arayüzleri içindeki kullanıcı giriş alanlarından doğrudan cüzdan kimlik bilgilerini ele geçirdiğini açıkladı.
“Bu yöntem, GreedyBear’ın pazar yeri güvenliğini ilk inceleme sürecinde meşru görünerek aşmasını sağlıyor ve daha sonra kullanıcı güveni ve olumlu değerlendirmeleri olan mevcut uzantıları kötü amaçlı hale getirerek silahlandırıyor.”
Siber güvenlik firması Cyvers’in CEO’su Deddy Lavid, Cointelegraph’a verdiği demeçte, GreedyBear kampanyasının “siber suçluların kullanıcıların tarayıcı uzantısı mağazalarına duyduğu güveni nasıl kötüye kullandığını gösterdiğini” söyledi. “Popüler cüzdan eklentilerini klonlayıp, değerlendirmeleri şişirip, ardından sessizce kimlik bilgisi çalan kötü amaçlı yazılımları devreye alıyorlar.”
Temmuz başında Koi Security, “Foxy Wallet” kampanyasının arkasında Rus tehdit aktörleri olduğunu düşünerek 40 kötü amaçlı Firefox uzantısını tespit etti.
Kripto temalı kötü amaçlı yazılımlar
Grubun saldırılarının ikinci ayağı, Koi Security’nin ortaya çıkardığı yaklaşık 500 örnekle kripto temalı kötü amaçlı yazılımlara odaklanıyor.
LummaStealer gibi kimlik bilgisi çalan kötü amaçlı yazılımlar özellikle kripto cüzdan bilgilerini hedef alırken, fidye yazılımı varyantları ise kripto ödemeleri talep etmek üzere tasarlanmış durumda.
Admoni, kötü amaçlı yazılımların çoğunun kırılmış veya korsan yazılım sunan Rusya merkezli web siteleri üzerinden dağıtıldığını belirtti.
Bir dolandırıcılık web sitesi ağı
Üçüncü saldırı vektörü ise kriptoyla ilgili ürün ve hizmetleri taklit eden bir dolandırıcılık web sitesi ağı.
“Bunlar tipik giriş sayfalarını taklit eden oltalama sayfaları değil; bunun yerine dijital cüzdanlar, donanım cihazları veya cüzdan onarım hizmetleri gibi sahte ürün açılış sayfaları olarak görünüyorlar,” dedi Admoni.
İlgili:
Admoni, bir sunucunun komut ve kontrol, kimlik bilgisi toplama, fidye yazılımı koordinasyonu ve dolandırıcılık web siteleri için merkezi bir merkez görevi gördüğünü, “saldırganların operasyonları birden fazla kanal üzerinden kolaylaştırmasını sağladığını” söyledi.
Kampanya ayrıca yapay zeka tarafından oluşturulan kod izleri gösteriyor; bu da kripto hedefli saldırıların hızlı ölçeklenmesini ve çeşitlendirilmesini mümkün kılarak kripto odaklı siber suçlarda yeni bir evrimi temsil ediyor.
“Bu geçici bir trend değil; yeni normal,” diye uyardı Admoni.
“Bu saldırılar, kullanıcı beklentilerini sömürüyor ve kötü amaçlı mantığı doğrudan cüzdan kullanıcı arayüzlerine enjekte ederek statik savunmaları aşıyor,” dedi Lavid ve ekledi: “Bu durum, tarayıcı sağlayıcılarının daha sıkı inceleme yapması, geliştirici şeffaflığı ve kullanıcıların dikkatli olması gerektiğini vurguluyor.”
Dergi:
