Darktrace: Kripto Hırsızlığına Yönelik Sosyal Mühendislik Saldırıları Artıyor

Siber güvenlik şirketi Darktrace, tehdit aktörlerinin, kripto para çalmak amacıyla kurbanları enfekte etmek için giderek daha sofistike sosyal mühendislik taktikleri kullandığı konusunda uyardı. Şirketin son blog yazısında, dolandırıcıların kötü amaçlı yazılım indirmek için yapay zeka, oyun ve Web3 girişimlerini taklit ettiği ayrıntılı bir kampanya örneği sunuldu.

Bu plan, meşruiyet illüzyonu yaratmak için doğrulanmış ve ele geçirilmiş X hesaplarının yanı sıra, meşru platformlarda barındırılan proje belgelerine dayanıyor. Raporlara göre, kampanya genellikle taklitçilerin potansiyel kurbanlarla X, Telegram veya Discord üzerinden iletişime geçmesiyle başlıyor. Yeni ortaya çıkan girişimlerin temsilcileri gibi davranarak, yazılımı test etme karşılığında kripto para ödemeleri gibi teşvikler sunuyorlar.

Kurbanlar daha sonra, beyaz belgeler, yol haritaları, GitHub girişleri ve hatta sahte mal mağazaları dahil olmak üzere, meşru girişimleri taklit etmek üzere tasarlanmış, özenle hazırlanmış şirket web sitelerine yönlendiriliyor. Hedef kötü amaçlı uygulamayı indirdikten sonra, bir Cloudflare doğrulama ekranı beliriyor. Bu sırada, kötü amaçlı yazılım CPU detayları, MAC adresi ve kullanıcı kimliği gibi sistem bilgilerini sessizce topluyor. Bu bilgiler, bir CAPTCHA tokeni ile birlikte, sistemin uygun bir hedef olup olmadığını belirlemek için saldırganın sunucusuna gönderiliyor.

Doğrulama başarılı olursa, genellikle bir bilgi çalıcı olan ikinci aşama yük, gizlice teslim ediliyor ve bu da kripto para cüzdanı kimlik bilgileri dahil olmak üzere hassas verileri çıkarıyor. Kötü amaçlı yazılımın hem Windows hem de macOS sürümleri tespit edildi. Darktrace'e göre, bu kampanya, aldatıcı içerik ve sosyal medya manipülasyonu yoluyla kötü amaçlı yazılım kurulumları oluşturma konusunda uzmanlaşmış siber suç ağları olan "traffer" grupları tarafından kullanılan taktiklere benziyor.

Araştırmacılar, tehdit aktörleri henüz tanımlanmamış olsa da, kullanılan yöntemlerin, kripto ile ilgili toplulukları hedeflediği bilinen bir grup olan CrazyEvil'e atfedilen kampanyalarla tutarlı olduğuna inanıyor. Bu tür kötü amaçlı yazılım kampanyaları, bu yıl birden fazla kez tespit edildi. Kuzey Kore bağlantılı bir operasyonun, kripto şirketlerindeki macOS cihazlarını tehlikeye atmak için sahte Zoom güncellemeleri kullandığı tespit edildi. Saldırganların, kötü amaçlı bir SDK güncellemesi aracılığıyla teslim edilen "NimDoor" adlı yeni bir kötü amaçlı yazılım türünü dağıttığı bildirildi.

Sonuç olarak, kripto para dünyasında sosyal mühendislik saldırıları artarak devam ediyor. Kullanıcıların, gelen iletişimlere karşı dikkatli olmaları ve şüpheli bağlantıları veya indirmeleri gerçekleştirmeden önce kaynakları doğrulamaları büyük önem taşıyor.