bir dizi Anlaşmazlık Kripto para birimine odaklanan topluluklar, yöneticileri bir Web tarayıcısı yer imi kılığında kötü amaçlı Javascript kodu çalıştırmaları için kandırıldıktan sonra geçtiğimiz ay saldırıya uğradı.
Bu saldırı, bir bileşeni bir web sayfasından kişinin tarayıcı yer imlerine sürükleyerek kişinin tarayıcısına eklenen kötü amaçlı Javascript’i içerir.
Kurbanlarla yapılan röportajlara göre, saldırıların birçoğu kripto odaklı bir çevrimiçi haber kaynağı için muhabir kılığına giren birinin röportaj talebiyle başladı. Yemi yutanlara, kimliklerini doğrulamak için bir doğrulama adımını tamamlamalarının istendiği, kripto haber sitesinin resmi Discord’u gibi görünen bir Discord sunucusuna bir bağlantı gönderilir.
Bu Youtube videosunda gösterildiği gibi, doğrulama işlemi, sahte kripto haber Discord sunucusundaki bir düğmeyi kişinin Web tarayıcısındaki yer imleri çubuğuna sürüklemeyi içerir. Oradan, ziyaretçiye discord.com’a geri dönmesi ve ardından doğrulama işlemini tamamlamak için yeni yer imini tıklaması talimatı verilir.
Bununla birlikte, yer imi aslında kullanıcının Discord jetonunu sessizce alan ve dolandırıcının web sitesine gönderen zekice bir Javascript pasajıdır. Saldırgan daha sonra çalınan jetonu kendi tarayıcı oturumuna yükler ve (genellikle yöneticiler uyuduktan sonra gece geç saatlerde) hedeflenen Discord’da özel bir “airdrop”, “NFT mint olayı” veya başka bir potansiyel para kazanma fırsatı hakkında bir duyuru yayınlar. discord üyeleri için
Şüphelenmeyen Discord üyelerinden, güvenliği ihlal edilmiş yönetici hesabı tarafından sağlanan bağlantıya tıklarlar ve kripto cüzdanlarını dolandırıcının sitesine bağlamaları istenir; burada site, belirteçleri için sınırsız harcama onayı ister ve ardından değerli hesapların bakiyesini boşaltır.
Bu arada, güvenliği ihlal edilmiş Discord kanalında dolandırıcılığı fark eden ve yanıt veren herkes yasaklanır ve mesajları güvenliği ihlal edilmiş yönetici hesabı tarafından silinir.
Nicholas Scavuzzo kendisini “işletmelerin ve bireylerin veri ve veri tabanlı hizmetleri değiş tokuş etmesine ve bunlardan para kazanmasına izin vermeyi amaçlayan açık kaynaklı bir protokol” olarak tanımlayan Ocean Protocol’ün bir ortağıdır. 22 Mayıs’ta, Ocean Protocol’ün Discord sunucusunun bir yöneticisi, bir topluluk üyesinden gelen doğrudan mesajdaki bir bağlantıya tıkladı ve bu bağlantı, yer imlerine bir bağlantıyı sürükleyerek kimliklerini kanıtlamalarını istedi.
Maine merkezli Scavuzzo, saldırganların yeni bir Ocean airdrop hakkında yetkisiz bir mesaj göndermek için yöneticinin hesabını kullanmadan önce kendi zaman diliminde gece yarısına kadar beklediklerini söyledi.
Scavuzzo, çok faktörlü kimlik doğrulaması açık olmasına rağmen yöneticinin hesabının ele geçirildiğini söyledi.
Scavuzzo saldırıyı “CAPTCHA’yı barındıran kişinin Discord çerezlerine erişmesine izin veren bir CAPTCHA botu” şeklinde tanımladı. “Her türden kripto dolandırıcılığını gördüm ama bunun gibisini hiç görmedim.”
Bu sohbette “Ana | Ocean”, sahte bir airdropu teşvik eden güvenliği ihlal edilmiş bir Discord sunucu yöneticisi hesabıdır.
Daha da önemlisi, çalınan jeton yalnızca gerçek sahibi oturumu kapatıp tekrar açmadığı veya kimlik bilgilerini değiştirmediği sürece saldırganların işine yarar.
Yöneticinin oturum açabileceğini varsayarsak, yani. Ocean’ın durumunda, davetsiz misafirlerin yöneticinin belirtecini çaldıktan sonra yaptıkları ilk şeylerden biri, sunucunun erişim kontrollerini değiştirmek ve tüm çekirdek Ocean ekibi üyelerini sunucudan çıkarmak oldu.
Neyse ki Ocean için Scavuzzo, Discord kanalını barındıran sunucunun operatörüne ulaşabildi ve kanalın ayarlarını normale döndürdü.
Scavuzzo, “Neyse ki, küresel olarak dağıtılmış bir ekibiz, bu nedenle insanlarımız her saat uyanık durumda,” dedi ve Ocean’ın, yaklaşık 30 dakika boyunca canlı yayında olan sahte airdrop teklifine kanan herhangi bir Discord topluluğu üyesinin farkında olmadığını belirtti. “Bu çok daha kötü olabilirdi.”
26 Mayıs’ta Aura Ağı Twitter’da bildirildi Discord sunucusunun, Discord kanallarının silinmesi ve sahte Aura Network Airdrop Campaign bağlantılarının yayılmasıyla sonuçlanan bir kimlik avı saldırısında ele geçirildiğini.
27 Mayıs’ta Nahmii — Ethereum blok zincirine dayalı bir kripto para birimi teknolojisi — uyardı Twitter’da, Discord’daki topluluk moderatörlerinden birinin güvenliğinin ihlal edildiğini ve sahte airdrop ayrıntıları yayınladığını.
9 Mayıs’ta MetrixCoin bildirildi Discord sunucusunun saldırıya uğradığını ve sahte airdrop ayrıntılarının tüm kullanıcılara iletildiğini.
KrebsOnSecurity kısa süre önce siber güvenlik endüstrisindeki güvenilir bir kaynaktan bu saldırılardan biriyle ilk elden ilgilendiğini duydu ve kimliğinin gizli kalmasını istedi.
Kaynak, “Birkaç Discord için ücretsiz Discord güvenlik işi yapıyorum ve bu sahte gazetecilerden biri bana yaklaştı” dedi. “Birlikte oynadım ve birkaç hesap kullanarak Cryptonews web sitesinden gazeteci gibi davrandıkları Discord’larının bağlantısını aldım.”
Kaynak, sahte Cryptonews Discord yöneticilerinin tüm Discord kimliklerini not aldı, böylece güvenliğini sağlamaya yardım ettiği Discord’lardan engellendiklerinden emin olabilirdi.
Kaynak, “Bunu bir süredir yaptığım için, Discord kullanıcıları ve mesajlarından oluşan önemli bir veritabanı oluşturdum, bu yüzden bu dolandırıcıların geçmişini Discord’da sık sık görebiliyorum” dedi.
Bu durumda, sahte Cryptonews Discord’da “CEO” rolüne sahip bir kullanıcının daha önce başka bir kullanıcı adı altında görüldüğünü fark etti – “Levatax” Bu Discord Kimliği ve kullanıcı adı üzerinde arama yapıldığında, adında genç bir Türk kodlayıcı ortaya çıktı. Berk Yılmaz Github sayfası, dolandırıcı CEO ile aynı Discord Kimliğine bağlı.
Anlık mesaj ile ulaşıldı TelgrafLevatax, bu tür planlara karışmadığını ve başından beri Discord’a girmediğini söyledi. Microsoft Outlook hesap aylar önce hacklendi.
“İlginç olan şey [is] Levatax, ülkesindeki son seçimlere atıfta bulunarak, birkaç aydır Discord’u ve hatta Türkiye’nin siyasi durumu nedeniyle sosyal medyayı kullanmadığımı söyledi. “Doğruladığım tek şey, Discord’uma bağlanan Outlook hesabımı kaybetmek ve onu kurtarmak için Microsoft ile zaten temas halindeyim.”
Yukarıdaki dolandırıcılıkta kullanılan doğrulama yöntemi, Javascript kodunu tarayıcının üst kısmındaki yer imleri çubuğunda tıklanabilir bir bağlantı olarak depolayan “yer imi” adı verilen bir tür yer imi içerir.
Yer imleri yararlı ve zararsız olabilse de, kullanıcı tarafından tarayıcıda yürütülen kötü niyetli Javascript özellikle tehlikelidir. Bu nedenle, en başta sizin fikriniz olmadıkça, lütfen tarayıcınıza herhangi bir yer imi veya yer imi eklemekten (veya sürüklemekten) kaçının.