Recorder Future’ın araştırmacıları, kripto para kullanıcılarının meşru görünümlü ancak bunun yerine bilgi çalan kötü amaçlı yazılımlar sunan sahte uygulamalarla hedef alındıkları konusunda uyarıyor.
Bu karmaşık planın arkasındaki tehdit aktörü, hem Windows hem de Mac kullanıcılarının peşine düşüyor ve onları uygulamaları, yani kötü amaçlı yazılımı yüklemeleri için kandırmak için sosyal medya ve mesajlaşma platformlarından yararlanıyor.
Kripto para birimi kullanıcıları kötü amaçlı yazılımı indirme konusunda nasıl kandırılıyor?
Tarayıcı içi sanal toplantı yazılımı olduğu iddia edilen Vortax, ilk bakışta yasal bir uygulama gibi görünüyor:
- Büyük arama motorları tarafından indekslenen bir web sitesi ve yapay zeka tarafından oluşturulduğundan şüphelenilen makalelerin yer aldığı ilişkili bir Medium blogu var
- Web sitesi, şirket için fiziksel bir adres sağlar ve müşteri olarak Fortune 500 şirketleri hakkındaki iddiaları ve teknoloji yayınlarından alınan ödülleri içerir.
- “Doğrulanmış” bir X hesabının yanı sıra Telegram ve Discord hesapları da var
Doğrudan bir soru sorduktan sonra veya kripto para birimi temalı kanallar hakkında tartışmalara katılırken, potansiyel hedeflere bu Vortax hesapları tarafından siteyi ziyaret etmeleri, “Vortax’ı ücretsiz dene” düğmesine tıklamaları ve sağlanan Oda Kimliğini girmeleri talimatı verilir. uygulamayı indirin.
Vortax indirme istemi (Kaynak: Kaydedilen Gelecek)
“Tüm Oda Kimlikleri, Vortax web sitesine girildiğinde kullanıcıyı bir Dropbox bağlantısına (Windows) veya harici bir web sitesine yönlendirir (erik suyu[.]iletişim) (macOS) Vortax yükleyicisini indiriyor” diye açıkladı araştırmacılar.
“Windows ve macOS’taki Vortax yükleyicilerinin davranış analizi şunu gösteriyor: Vortax Uygulama Kurulumu.exe Ve VortaxSetup.dmg Rhadamanthys ve Stealc’i teslim edin veya [Atomic Stealer, aka AMOS]sırasıyla.”
Vortax uygulaması indirilip başlatıldığında hatalar nedeniyle (örn. eksik C++ sürücüsü) çalışmıyor gibi görünüyor. Ancak arka planda kötü niyetli süreçler devam ediyor ve bilgi hırsızlığı başlayabilir.
“Vortax evreleme alanının daha fazla araştırılması erik suyu[.]iletişim Aynı IP adresinde (79.137.197.159) barındırılan 23 ek alan ortaya çıktı” diyen analistler, bu alanların her birinin AMOS dağıtan kötü amaçlı bir uygulama barındırdığını söyledi.
“Bu kötü amaçlı uygulamalara yönelik soruşturma, Vortax’a (…) benzer şekilde meşru şirketler gibi davranan ve kripto para birimi kullanıcılarını hedef almak için sosyal medya ve mesajlaşma platformlarından yararlanan ek dolandırıcılıkları ortaya çıkardı. VDeck ve Mindspeak gibi bu dolandırıcılıklar, Vortax markasıyla aynı bağlantıyı paylaşıyor ve muhtemelen aynı tehdit aktörü tarafından yönetiliyor. [AMOS UserID] markopolo.”
Ne yapalım?
Araştırmacılar, bunun ve aynı tehdit aktörünün daha önce belgelenen kampanyasının gelecektekiler için bir model oluşturabileceğini ve Atomic Stealer’ın daha geniş çapta yayılmasına yol açabileceğini öne sürüyor.
Ayrıca Markopolo’nun bir karanlık web mağazasındaki ilk erişim komisyoncusu veya “günlük satıcısı” olabileceğini de öne sürüyorlar.
Kötü amaçlı uygulamaların, etki alanlarının ve dosya karmalarının bir listesini paylaştılar ve kuruluşlara tespitler yapmalarını, kötü amaçlı yazılım imzalarını düzenli olarak güncellemelerini ve onaylanmamış yazılımların indirilmesini önlemek için güvenlik kontrollerini kullanmayı düşünmelerini tavsiye ettiler.
Kullanıcılar üçüncü taraf yazılımları indirirken dikkatli olmalı ve siber dolandırıcıların kullandığı en son hileleri takip etmelidir.