GreedyBear: Kripto Para Dolandırıcılığında Endüstriyel Ölçekli Bir Atak

Kripto para dünyası, GreedyBear adlı bir siber suç grubunun endüstriyel ölçekli dolandırıcılık faaliyetiyle karşı karşıya. Araştırmalara göre, grup kötü amaçlı tarayıcı uzantıları, kötü amaçlı yazılımlar ve sahte web siteleri kullanarak 1 milyon dolardan fazla kripto para çalmayı başardı. Koi Security araştırmacısı Tuval Admoni, GreedyBear'in çoklu saldırı yöntemlerini birleştiren bir yaklaşım benimsediğini ve bu sayede "endüstriyel ölçekte kripto hırsızlığını yeniden tanımladığını" belirtti.

GreedyBear, özellikle phishing, fidye yazılımları veya sahte uzantılar gibi tek bir vektöre odaklanmak yerine, bu üçünü aynı anda ve geniş ölçekte kullanıyor. Grup, özellikle kripto para cüzdanı kullanıcılarını hedef alıyor. Bu kapsamda, 650'den fazla kötü amaçlı araç tespit edildi. Araştırmacılar, saldırıları ölçeklendirmek ve çeşitlendirmek için yapay zeka tarafından üretilen kod izlerine rastladı.

GreedyBear'in kullandığı yöntemler arasında, masum görünen Firefox uzantılarını (örneğin, bağlantı temizleyiciler veya video indirme araçları) yayınlayıp, sahte incelemelerle kullanıcı güvenini kazanmak bulunuyor. Bu uzantılar daha sonra MetaMask, TronLink, Exodus ve Rabby Wallet gibi cüzdanları taklit eden araçlara dönüştürülüyor. Bu sayede, uzantılar doğrudan kullanıcı giriş alanlarından kimlik bilgilerini topluyor ve GreedyBear'in komuta ve kontrol sunucusuna iletiyor.

Uzantıların yanı sıra, araştırmacılar aynı altyapıya bağlı yaklaşık 500 kötü amaçlı Windows çalıştırılabilir dosyası buldu. Bu dosyalar, LummaStealer gibi kimlik hırsızlığı yazılımları, Luca Stealer'a benzeyen fidye yazılımı varyantları ve diğer yükler için yükleyici olarak hareket eden genel trojanlar içeriyor. Bu kötü amaçlı yazılımlar, genellikle çatlak, korsan veya "yeniden paketlenmiş" yazılım sunan Rusça dilindeki web sitelerinden yayılıyor. Bu dağıtım yöntemi, grubun daha az güvenlik bilincine sahip kullanıcılara ulaşmasını sağlıyor. GreedyBear ayrıca, operatörlerin tamamen yeni kötü amaçlı yazılım dağıtmadan yükleri güncelleyebildiği veya işlevleri değiştirebildiği modüler yeteneklere sahip kötü amaçlı yazılım örnekleri de kullandı.

Kötü amaçlı yazılım operasyonlarına paralel olarak, GreedyBear, kripto para ürünlerini ve hizmetlerini taklit eden bir dizi sahte web sitesi de işletiyor. Bu web siteleri, şüpheli kullanıcılardan hassas bilgileri toplamak için tasarlandı. Örneğin, donanım cüzdanları için sahte açılış sayfaları ve Trezor gibi cihazları düzeltme hizmeti veren sahte cüzdan onarım hizmetleri bulundu. Bu sahte siteler, kullanıcıları cüzdan kurtarma ifadeleri, özel anahtarlar, ödeme bilgileri veya diğer hassas verileri girmeye teşvik ediyor.

Koi Security'nin araştırmasına göre, GreedyBear'in tüm faaliyetleri tek bir IP adresine (185.208.156.66) bağlı. Bu sunucu, operasyonun komuta ve kontrol merkezi olarak işlev görüyor ve kimlik bilgisi toplama, fidye yazılımı koordinasyonu ve dolandırıcılık web siteleri barındırma gibi işlevleri yönetiyor. Admoni, kampanyanın kodunda "yapay zeka tarafından üretilen eserler" bulunduğunu belirterek, bunun saldırganların operasyonları ölçeklendirmesini, yükleri çeşitlendirmesini ve tespitten kaçınmasını kolaylaştırdığını vurguladı. Bu durumun "yeni normal" olduğunu ve savunucuların da gelişmiş güvenlik araçları ve istihbaratla karşılık vermesi gerektiğini ekledi.