Saldırıya uğramış neredeyse 2.000 WordPress sitesi artık sahte NFT ve indirim açılır pencereleri görüntüleyerek ziyaretçileri kandırarak cüzdanlarını otomatik olarak para çalan kripto emicilere bağlamalarını sağlıyor.
Web sitesi güvenlik firması Sucuri geçen ay, bilgisayar korsanlarının, kötü amaçlı reklamcılık ve YouTube videoları aracılığıyla tanıttıkları kripto zararlılarını tanıtmak için yaklaşık 1.000 WordPress sitesini tehlikeye attığını açıkladı.
Tehdit aktörlerinin orijinal kampanyalarında başarısız olduklarına ve ziyaretçilerin web tarayıcılarını diğer sitelerdeki yönetici şifrelerini kaba kuvvetle zorlayacak araçlara dönüştürmek için ele geçirilen sitelere haber metinleri yerleştirmeye başladıklarına inanılıyor.
Bu saldırılar, Ekvador Özel Bankalar Birliği’nin web sitesi gibi önemli örnekler de dahil olmak üzere yaklaşık 1.700 kaba kuvvet sitesinden oluşan bir kümeyi içeriyordu. Amaç, daha kapsamlı bir kampanyayla sonunda para kazanabilecek kadar geniş bir site havuzu oluşturmaktı.
Siber güvenlik araştırmacısına göre MalwareHunterTeamtehdit aktörleri artık sahte NFT tekliflerini ve kripto indirimlerini tanıtan pop-up’lar görüntüleyen site havuzundan para kazanmaya başladı.
Şu anda bu kripto emicileri kaç tane ele geçirilmiş sitenin gösterdiği bilinmemekle birlikte, bir Urlscan araştırması, 2.000’den fazla ele geçirilmiş web sitesinin son yedi gün içinde kötü amaçlı komut dosyalarını yüklediğini gösteriyor.
Şu anda herkes kripto pop-up dolandırıcılığı yapmıyor ancak bu durum her an değişebilir.
Pop-up’lar kripto drenajlarına yol açıyor
Kötü amaçlı komut dosyaları dinamik-linx etki alanından yüklenir[.]com, Sucuri’nin geçen ay gördüğü URL’nin aynısı.
Bu komut dosyası belirli bir çerezi (“haw”) kontrol edecek ve eğer mevcut değilse, aşağıda gösterildiği gibi web sayfasına kötü amaçlı komut dosyaları yerleştirecektir.
Kaynak: BleepingComputer
Kötü amaçlı kod, rastgele bir promosyon pop-up’ı görüntüleyerek kurbanları umut verici bir NFT basmak veya web sitesinde indirim almak için cüzdanlarını bağlamaya teşvik ediyor.
Kaynak: BleepingComputer
BleepingComputer, bu komut dosyalarını barındıran birden fazla siteyi test etti ve başlangıçta açılır pencerelerin cüzdanlara bağlanmaya çalışmamasıyla ilgili bazı sorunlar olsa da, sonunda yeniden çalışmaya başladılar.
Bağlan düğmesine tıkladığınızda, komut dosyaları başlangıçta MetaMask, Safe Wallet, Coinbase, Ledger ve Trust Wallet cüzdanları için yerel destek görüntüleyecektir. Ancak, diğer birçok cüzdanı destekleyen ve hedefleme kapsamını önemli ölçüde genişleten ‘WalletConnect’i de destekliyorlar.
Kaynak: BleepingComputer
Bir ziyaretçi Web3 sitesini cüzdanlarına bağladığında, kripto para avcısı hesaptaki tüm fonları ve NFT’leri çalacak ve bunları tehdit aktörlerine gönderecektir.
Bu kötü amaçlı komut dosyalarının bulaştığı web sitelerini ziyaret ederken MetaMask’ın bir uyarı görüntüleyeceğini unutmamak gerekir.
Tehdit aktörlerinin iyi bilinen X hesaplarını hacklemesi ve kötü amaçlı komut dosyaları kullanan web sitelerini tanıtmak için yapay zeka videoları ve kötü amaçlı reklamlar oluşturmasıyla, kripto zararlıları kripto para birimi topluluğu için büyük bir sorun haline geldi.
Dijital varlıklarınızı kripto emici operatörlere ve diğer siber suçlulara kaptırmamak için cüzdanınızı yalnızca güvenilir platformlara bağlayın.
Bir web sitesinin yerleşik itibarı ne olursa olsun, özellikle web sitesinin ana konusu veya tasarımıyla uyumlu olmayan beklenmedik açılır pencerelere karşı dikkatli olmak akıllıca olacaktır.