Kripto para birimi girişimlerinde dolandırıcılık tehdidi arttı!
Kaspersky uzmanları, gelişmiş kalıcı tehdit (APT) merkezi BlueNoroff'un dünya çapındaki küçük ve orta ölçekli şirketlere ilişkin büyük kripto para birimi kayıplarına neden olan saldırılarını ortaya çıkardı.
- Saldırganlar haftalarca ve aylarca kurbanları takip ediyor
BlueNoroff, kurbanın güvenini kazanabilmek amacıyla mevcut bir risk sermayesi şirketi şeklinde davranıyor. Kaspersky araştırmacıları, SnatchCrypto kampanyası esnasında marka adı ve çalışan adlarının kötüye kullanıldığı 15'ten fazla girişimi tespit etti.
Kaspersky uzmanları, ayrıca, gerçek şirketlerin bu saldırı ya da e-postalarla hiçbir ilgisi olmadığını belirtiyor. Yeni başlayanlar genellikle tanıdık olmayan kaynaklardan mektuplar ya da dosyalarla karşılaşabiliyor.
APT grubu, sistemleri enfekte etmek amacıyla çeşitli yöntemlere sahip ve duruma göre çeşitli enfeksiyon zincirlerini buluşturuyor. Saldırganlar, silaha dönüştürülmüş Word belgelerinin yanı sıra sıkıştırılmış Windows kısayol dosyaları şeklinde gizlenmiş kötü amaçlı yazılımların yayılmasını sağlıyor. Kurbanın genel bilgileri daha sonra tam özellikli bir arka kapı meydana getirilen Powershell aracısına yollanıyor. Bunu kullanarak BlueNoroff, kurbanı takip etmek amacıyla diğer kötü amaçlı araçları olan bir keylogger ve ekran görüntüsü alıcısını devreye alıyor.
Daha sonra saldırganlar, haftalarca ve aylarca kurbanları izliyor. Finansal hırsızlık için strateji planlarken tuş vuruşlarını topluyor ve kullanıcının günlük işlemlerini takip ediyor. Kripto cüzdanlarını yönetmek amacıyla popüler bir tarayıcı uzantısı kullanan belirgin bir hedef bulmasının ardından (örneğin Metamask uzantısı gibi), uzantının ana bileşenini sahte bir sürümle değiştiriyor.
Araştırmacılara göre saldırganlara, büyük transferler keşfedildiğinde bildirim gidiyor. Güvenliği ihlal edilmiş kullanıcı başka bir hesaba bir tutar para aktarmaya çalıştığında işlem sürecini durduryorlar ve kendi aracılarını enjekte ediyorlar. Başlatılan ödemeyi bitirmek için kullanıcı "onayla" düğmesine bastığında, siber suçlular alıcının adresini değiştiriyor ve işlem miktarını en üst düzeye yükseltiyor. Bu şekilde hesabı tek bir adımda boşaltabiliyor.