Siber güvenlik araştırmacıları, birkaç yıl boyunca kripto para birimi cüzdanlarından dijital varlıkları çalmak için tasarlanmış “endüstriyel ölçekli, küresel kripto para birimi kimlik avı operasyonu” dediklerini ortaya koydular.
Kampanya kodlandı Freedrain Tehdit İstihbarat Firmaları Sentinelone ve Validin.
Güvenlik araştırmacıları Kenneth Kinion, Sreekar Madabushi ve Tom Hegel, Hacker haberleriyle paylaşılan teknik raporda, “Freedrain SEO manipülasyonu, serbest katmanlı web hizmetlerini (Gitbook.io, Webflow.io ve GitHub.io ve GitHub.io gibi) ve katmanlı yeniden yönlendirme tekniklerini kullanıyor.”
“Mağdurlar cüzdanla ilgili sorgular ararlar, yüksek rütbeli kötü niyetli sonuçları tıklar, cazibe sayfalarına iner ve tohum cümlelerini çalan kimlik avı sayfalarına yönlendirilirler.”
Kampanyanın ölçeği, cazibe sayfalarına barındıran 38.000’den fazla farklı freedrain alt alanının tanımlanması gerçeğine yansıyor. Bu sayfalar Amazon S3 ve Azure Web Uygulamaları gibi bulut altyapısında ve meşru kripto para cüzdan arayüzlerini taklit eder.
Etkinlik, Hindistan Standart Saati (IST) saat dilimine dayanan bireylere yüksek güvenle ilişkilendirilmiştir, Standart hafta içi saatlerce çalışır, cazibe sayfalarıyla ilişkili GitHub taahhütlerinin kalıplarını belirtmektedir.
Saldırıların, Google, Bing ve DuckDuckgo gibi arama motorlarında “Trezor Cüzdan Dengesi” gibi cüzdanla ilgili sorguları arayan kullanıcıları hedeflediği ve onları Gitbook.io, WebFlow.io ve Github.io’da barındırılan sahte açılış sayfalarına yönlendirdiği hedeflenmiştir.
Bu sayfalara inen şüphesiz kullanıcılara, meşru cüzdan arayüzünün statik bir ekran görüntüsü sunulur ve aşağıdaki üç davranıştan biri olanı tıklayarak –
- Kullanıcıyı meşru web sitelerine yönlendirin
- Kullanıcıyı diğer aracı sitelere yönlendirin
- Kullanıcıyı, tohum ifadelerini girmelerini isteyen ve cüzdanlarını etkili bir şekilde boşaltan benzeyen bir kimlik avı sayfasına yönlendirin
Araştırmacılar, “Tüm akış tasarım, SEO manipülasyonu, tanıdık görsel unsurlar ve kurbanları yanlış bir meşruiyet duygusuna sokmaya olan platform güvenini harmanlayan sürtünmesizdir.” Dedi. “Ve bir tohum ifadesi gönderildikten sonra, saldırganın otomatik altyapısı birkaç dakika içinde fonları tüketecek.”
Bu tuzak sayfalarında kullanılan metin içeriğinin, tehdit aktörlerinin ölçekte içerik üretmek için üretken yapay zeka (GENAI) araçlarını nasıl kötüye kullandığını gösteren Openai GPT-4O gibi büyük dil modelleri kullanılarak üretildiğine inanılmaktadır.
Freedrain ayrıca, SEO’yu oynamak için kullanılan spamdexing adı verilen bir teknik olan arama motoru dizinleme yoluyla cazibe sayfalarının görünürlüğünü artırmak için binlerce spamlı yorumla kötü bakımlı web sitelerini sular altında tutmaya başvurdu.
Kampanyanın bazı yönlerinin Ağustos 2022’den bu yana Netskope tehdit laboratuvarları tarafından ve Tehdit aktörlerinin, Coinbase, Metamask, Phantom, Trezor ve Bitbuy gibi maskelenen kimlik avı sitelerini döndürmek için web akışını kullanan Ekim 2024’e kadar belgelendiğini belirtmek gerekir.
Araştırmacılar, “Freedrain’in serbest katmanlı platformlara güvenmesi benzersiz değil ve daha iyi güvenceler olmadan, bu hizmetler ölçekte silahlanmaya devam edecek.”
“Freedrain ağı, serbest seviye platformlarında gelişen, geleneksel istismar tespit yöntemlerinden kaçan ve altyapı yayından kaldırmalarına hızla uyum sağlayan ölçeklenebilir kimlik avı operasyonları için modern bir planı temsil ediyor. İçeriği ev sahipliği yapmak, cazibe sayfalarını dağıtmak ve rota kurbanlarını dağıtmak için zorlamak zorlaştırdı” diye açıklamayı kolaylaştırdı.
Açıklama, Check Point Research, Inferno drain adı verilen bir Hizmet Olarak Düzenli (DAAs) aracı kullanarak fonlarını çalmak için Kripto para kullanıcılarını istismar eden ve tek bekarlar, Kripto para birimi kullanıcılarını ortaya çıkaran sofistike bir kimlik avı kampanyası ortaya çıkardığını söyledi.
Saldırılar, kurbanları süresi dolmuş makyaj davetini kaçırarak kötü niyetli bir uyumsuzluk sunucusuna katılmaya ikna ederken, aynı zamanda kötü niyetli web sitelerinin otomatik olarak tespitinden kaçınmak için Discord OAuth2 kimlik doğrulama akışından da yararlanıyor.
 |
| Toplam alanların şüpheli ve onaylanmış URL’lere miktar olarak parçalanması. |
Eylül 2024 ve Mart 2025 arasında, 30.000’den fazla benzersiz cüzdanın Inferno drenanı tarafından mağdur edildiği ve en az 9 milyon dolar kayıp verildiği tahmin ediliyor.
Inferno drain, Kasım 2023’te faaliyetlerini kapattığını iddia etti. Ancak son bulgular, kripto tahliyesinin aktif kaldığını, tespiti daha zor hale getirmek için tek kullanımlık akıllı sözleşmeler ve zincirli şifreli konfigürasyonlar kullandığını ortaya koyuyor.
Şirket, “Saldırganlar, kullanıcıları meşru bir Web3 web sitesinden sahte bir işbirliğine ve daha sonra bir kimlik avı sitesine yönlendirerek onları kötü niyetli işlemler imzalamaya yönlendiriyor.” Dedi. “Bu sitede dağıtılan drenaj komut dosyası doğrudan cehennem sihirine bağlandı.”
“Inferno drain, tek kullanımlık ve kısa ömürlü akıllı sözleşmeler, zincir üzerinde şifreli konfigürasyonlar ve proxy tabanlı iletişim dahil olmak üzere gelişmiş önleme karşıtı taktikler kullanır.
Bulgular ayrıca, kullanıcıları bir masaüstü istemcisi indirmelerini söyleyen kabataslak web sitelerine yönlendirmek için Binance, Bybit ve TradingView gibi güvenilir kripto para birimi borsalarını ve ticaret platformlarını taklit eden Facebook reklamlarından yararlanan bir kötü niyetli kampanyanın keşfini takip ediyor.
Bitdefender, yayınla paylaşılan bir raporda, “Facebook reklamlarıyla ilgili sorgu parametreleri, meşru mağdurları tespit etmek için kullanılırken, şüpheli veya otomatik analiz ortamları iyi huylu içerik alır.” Dedi.
“Site şüpheli koşulları tespit ediyorsa (örneğin, reklam izleme parametreleri veya otomatik güvenlik analizine özgü bir ortam), bunun yerine zararsız, ilgisiz içerik görüntüler.”
Yükleyici, başlatıldıktan sonra, Ruse’u korumak için taklit edilen varlığın oturum açma sayfasını msedge_proxy.exe üzerinden görüntülerken, ek yükler sistem bilgilerini hasat etmek için arka planda sessizce yürütülür veya peçete edilen veriler bir sandBox ortamını gösteriyorsa “yüzlerce saat” için bir uyku komutu yürütür.
Romanya siber güvenlik şirketi, yüzlerce Facebook hesabının bu kötü amaçlı yazılım tespit eden sayfaların, Bulgaristan ve Slovakya’da 18 yılı aşkın erkekleri hedef aldığını söyledi.
“Bu kampanya, ön uç aldatma ve yerel tabanlı bir kötü amaçlı yazılım hizmetini birleştirerek hibrit bir yaklaşım sergiliyor.” Diyerek şöyle devam etti: “Mağdurun ortamına dinamik olarak uyum sağlayarak ve yükleri sürekli güncelleyerek, tehdit aktörleri esnek, son derece kaçınılmaz bir operasyon sürdürüyor.”