Darktrace, kripto çalan kötü amaçlı yazılım dağıtan sosyal mühendislik dolandırıcılıkları konusunda uyarıyor.

Siber güvenlik şirketi Darktrace'deki araştırmacılar, tehdit aktörlerinin kurbanları kripto çalan kötü amaçlı yazılımlarla enfekte etmek için giderek daha sofistike sosyal mühendislik taktikleri kullandıklarını uyardı.

Son blogunda, Darktrace araştırmacıları dolandırıcıların kullanıcıları kötü amaçlı yazılım indirmeye kandırmak için AI, oyun ve Web3 girişimlerini taklit ettikleri karmaşık bir kampanyayı detaylandırdı.

Şema, doğrulanmış ve ele geçirilmiş X hesaplarına, ayrıca meşru platformlarda barındırılan proje belgelerine dayanarak, bir meşruiyet illüzyonu yaratmaktadır.

Raporun belirttiğine göre, kampanya genellikle sahtekarların potansiyel kurbanlara X, Telegram veya Discord üzerinden ulaşmasıyla başlar. Yenilikçi girişimlerin temsilcileri olarak davranarak, yazılım test etme karşılığında kripto para ödemeleri gibi teşvikler sunarlar.

Kurbanlar, meşru girişimleri taklit edecek şekilde tasarlanmış, beyaz kağıtlar, yol haritaları, GitHub girdileri ve hatta sahte ticari mağazalarla donatılmış şık şirket web sitelerine yönlendirilir.

Bir hedef kötü amaçlı uygulamayı indirdiğinde, bir Cloudflare doğrulama ekranı görünür ve bu esnada kötü amaçlı yazılım, CPU detayları, MAC adresi ve kullanıcı kimliği gibi sistem bilgilerini sessizce toplar. Bu bilgiler, bir CAPTCHA token'ı ile birlikte, sistemin uygun bir hedef olup olmadığını belirlemek için saldırganın sunucusuna gönderilir.

Eğer doğrulama başarılı olursa, tipik olarak bir bilgi çalan olan ikinci aşama yükü gizlice teslim edilir ve bu da kripto para cüzdanı kimlik bilgileri de dahil olmak üzere hassas verileri çıkarır.

Hem Windows hem de macOS sürümlerinde kötü amaçlı yazılım tespit edilmiştir; bazı Windows varyantlarının meşru şirketlerden çalınan kod imzalama sertifikalarını kullandığı bilinmektedir.

Darktrace'e göre, kampanya "traffer" gruplarının kullandığı taktiklere benziyor; bu gruplar, kötü amaçlı yazılım kurulumlarını aldatıcı içerik ve sosyal medya manipülasyonu yoluyla üretmeye odaklanan siber suç ağıdır.

Tehdit aktörleri henüz kimlikleri belirlenmemiş olsa da, araştırmacılar kullanılan yöntemlerin, kripto ile ilgili toplulukları hedef alan CrazyEvil'e atfedilen kampanyalarda görülenlerle tutarlı olduğuna inanıyor.

"CrazyEvil ve alt takımları, bu blogda tarif edilenlere benzer sahte yazılım şirketleri oluşturuyor, Twitter ve Medium'u kullanarak kurbanları hedef alıyorlar," diye yazdı Darktrace ve grubun "kötü amaçlı faaliyetlerinden milyonlarca dolar gelir elde ettiği" tahmin ediliyor.

Sürekli bir tehdit

Benzer kötü amaçlı yazılım kampanyalarının bu yıl boyunca birçok kez tespit edildiği, Kuzey Kore ile bağlantılı bir operasyonun kripto firmalarında macOS cihazlarını tehlikeye atmak için sahte Zoom güncellemeleri kullandığı bulundu.

Saldırganların, kötü amaçlı bir SDK güncellemesi aracılığıyla dağıtılan "NimDoor" adı verilen yeni bir kötü amaçlı yazılım türü kullanıldığı bildirildi. Çok aşamalı yük, cüzdan kimlik bilgilerini, tarayıcı verilerini ve şifreli Telegram dosyalarını çıkarmak için tasarlandı ve sistemde kalıcılığı sağlamak için geliştirildi.

Başka bir durumda, kötü şöhretli Kuzey Koreli hack grubu Lazarus, yeni bir kötü amaçlı yazılım türü olan "OtterCookie"yi kullanarak, sahte mülakat oturumları sırasında farkında olmayan profesyonelleri hedef almak için işe alımcı olarak kendini tanıttığı bulundu.

Bu yılın başlarında, blockchain adli firma Merkle Science tarafından yapılan ayrı bir çalışmada, sosyal mühendislik dolandırıcılıklarının çoğunlukla ünlüler ve teknoloji liderlerini hacklenen X hesapları aracılığıyla hedef aldığı bulundu.