CoinMarketCap kullanıcılarını hedefleyen koordineli bir kripto hırsızlığı operasyonu, thecommsLeaks olarak bilinen bir telgraf kanalından sızan görüntüler ortaya çıktıktan sonra ortaya çıktı. Saldırı, Coinmarketcap’ın kendi arayüzüne gömülü ikna edici bir cüzdan bağlantısı istemi kullandı ve kullanıcıları cüzdanlarına erişim sağlamaya kandırdı. Sonuç? 43.000 dolardan fazla kripto fonu saatler içinde boşaltıldı.
Kanada merkezli bir siber suç istihbarat firması olan Flare.io’da kıdemli bir tehdit istihbaratı araştırmacısı ve sertifikalı karanlık web araştırmacısı Tammy H’ye göre, saldırı önceki kampanyalara bağlı bilinen bir cüzdan drenajı araç seti olan Inferno Drain kullanılarak gerçekleştirildi.
Fiyatlı bir pop-up
Yöntem basit ama etkili oldu. CoinMarketCap’i ziyaret eden kullanıcılara, özelliklere erişmek için “cüzdanınızı doğrulamalarını” isteyen bir istem sunuldu. Platformda görülen meşru pop-up’larla aynı görünüyordu ve kullanıcılara şüphe etmek için hiçbir neden vermedi. Ancak, bağlandıktan sonra, cüzdanlar, sahip oldukları varlıklardan sessizce boşaltıldı.
Sızıntıda belirtilen bir kaynak, istemin sitedeki neredeyse her sayfada göründüğünü iddia etti. “Her sayfada göründüğü yerde yapın,” bir mesaj okuyun. “Çoğu insan sikke sabitledi… Siteyi oluşturdukları ikincisi.”
Saldırgan görünürlüğü artırmaya ve cüzdan bağlantılarını en üst düzeye çıkarmaya odaklanmış gibi görünüyordu. Bazı raporlar, bağlantı düğmesinin bile çok fazla işlenmesi nedeniyle arızalanmaya başladığını göstermektedir.
Sızıntının içinde
Tommy H’nin analizine göre, telgraf kanalı Thecommsleaks 20 Haziran’da yerel saatle saat 19: 30’da ayrıntıları paylaşmaya başladı. Mesajlar, saldırgan tarafından kullanılan canlı bir gösterge tablosunu gösteren ekran görüntüleri içeriyordu. Bu görseller cüzdan bağlantıları, jeton transferleri ve gerçek zamanlı olarak boşaltılan toplam değerleri gösterdi.
Erken sayılar 67 başarılı isabet ve 1.300’den fazla cüzdan bağlantısı gösterdi. Ödeme zaten ilk dalga içinde 21.000 doları geçti. Kampanya sona erdiğinde, son hamle, 110 kurbandan boşalarak 43.266 dolara yükselmişti.
Sifonlar, SOL, XRP, EVT ve Pengu ve SHDW gibi daha küçük paralar dahil. XRP’de 1.769 $ ‘lık bir işlem, BSCSCAN’da görünen bir cüzdanla ilişkilendirildi ve hırsızlığın kamuoyunu onayladı.
Ancak araştırmacı, her denemenin başarılı olmadığını belirtti. Saldırganın araç setinden gelen kütükler, tipik olarak desteklenmemiş jetonlar veya ihmal edilebilir bakiyeler tutan cüzdanlar nedeniyle birden fazla başarısız drenaj gösterdi.
Coinmarketcap’ta ne oldu?
Saldırının sahte bir alandan gelip gelmediğine dair spekülasyon artırdıktan sonra, Coinmarketcap sorunu doğrudan ele aldı. X’te yayınlanan bir açıklamada, şirket ana sayfalarında görüntülenen bir doodle görüntüsünün, gömülü bir API çağrısı aracılığıyla kötü amaçlı kodu tetiklediğini söyledi. Bu güvenlik açığı, bazı kullanıcılar için yetkisiz cüzdan isteminin görünmesine neden oldu.
Şirket, güvenlik ekibinin sorunu tespit ettikten hemen sonra yanıt verdiğini doğruladı. Kötü niyetli içerik kaldırıldı ve daha fazla kötüye kullanımı önlemek için dahili sistemler yamalandı.
Şirket, “Tüm sistemler artık tamamen operasyoneldir ve CoinMarketCap tüm kullanıcılar için güvenli ve güvenlidir” dedi.
Bu olay, ana sayfa doodle kadar zararsız bir şey içeren küçük arayüz değişimlerinin, büyük ölçekli hasar nedeniyle nasıl kullanıldığını göstermeye devam ediyor. Meşru bir platformun kendi ortamının kötü niyetli istemler uygulamak için kullanılması son derece endişe olsa da, tanıdık arayüzlere güvenmenin ne kadar kolay kötüye kullanılabileceğini yansıtmaktadır.
Geçen hafta Hackread tarafından bildirilen ayrı bir olayda, Scammers, kullanıcıları Apple ve PayPal gibi gerçek web sitelerinde gösterilen sahte destek numaralarını çağırmak için kandırmak için arama reklamlarını kullandı. Teknik olarak ilgisiz olmasına rağmen, her iki vaka da saldırganların çevrimiçi olarak etkileşime girmenin güvenli olduğuna dair kullanıcı varsayımlarına nasıl güvendiğini göstermektedir.
Şimdilik, kullanıcıların cüzdanları doğrudan pop-up’lar aracılığıyla bağlamaktan kaçınmaları ve platformun resmi rehberliğine karşı herhangi bir istemi doğrulamaları tavsiye edilir. Bir şey tanıdık görünüyorsa, bu her zaman güvenli olduğu anlamına gelmez.