Yeni tanımlanmış bir siber saldırı kampanyası, dublaj Çimenlisahte iş görüşmeleri yoluyla kripto para birimi ve Web3 sektörlerinde iş arayanları hedef alıyor.
Rusça konuşan siber suçlu grup “Crazy Evil” e atfedilen kampanya, kurbanları bir video toplantı uygulaması olarak gizlenmiş kötü niyetli yazılımları indirmeleri için LinkedIn, Wellfound ve Cryptojobslist gibi platformlarda hileli iş ilanları kullanıyor.
Bu kötü amaçlı yazılım, giriş bilgileri, kripto para cüzdanları ve hem Windows hem de MacOS cihazlarından kimlik doğrulama çerezleri gibi hassas bilgileri çalmak için tasarlanmıştır.
Saldırı nasıl çalışır
Saldırganlar, profesyonel görünümlü web siteleri ve sosyal medya profilleri ile tamamlanan “Chainseeker.io” gibi sahte şirketler yaratıyor.
“Blockchain Analisti” veya “Sosyal Medya Yöneticisi” gibi roller için cazip iş fırsatlarını reklam veriyorlar.
Bir kurban başvurduktan sonra, Telegram aracılığıyla sahte bir baş pazarlama görevlisi (CMO) tarafından temasa geçilir.
CMO, çevrimiçi bir röportaj yapma iddiası altında GrassCall uygulamasını hileli bir web sitesinden indirmelerini söyler.
Kurulum üzerine GrassCall, kurbanın işletim sistemine göre tasarlanmış kötü amaçlı yazılımları dağıtır.
Windows kullanıcıları için, MacOS kullanıcıları AMOS Stealer’ı alırken, Rhadamanthys veya Remote Access Truva atları (sıçanlar) gibi infosterers yükler.
Bu yükler, depolanan kimlik bilgilerini, kripto para birimi cüzdan verilerini ve diğer hassas bilgileri çıkarır.
Çalıntı veriler genellikle para kazandığı telgraf kanallarına yüklenir.
Gelişen tehditler ve sonuçlar
Son raporlar, Crazy Evil’in şimdi benzer taktikler kullanan ancak güncellenmiş kötü amaçlı yazılım suşları olan Vibecall adlı bu kampanyanın yeni bir yinelemesine geçtiğini gösteriyor.
Grubun kripto para birimi kullanıcılarına odaklanması, dijital varlık alanında finansal olarak motive olmuş siber suçların artan karmaşıklığını vurgulamaktadır.
Yüzlerce kişi zaten bu kampanyaya kurban düştü ve birçoğu süzülmüş kripto para cüzdanları nedeniyle önemli finansal kayıplar bildirdi.
Siber güvenlik uzmanları, Web3 gibi yüksek riskli endüstrilerdeki işlere başvururken uyanıklığın önemini vurgulamaktadır.
Uyarı işaretleri, bilinmeyen yazılımı indirme veya yalnızca Telegram gibi doğrulanmamış platformlar aracılığıyla iletişim kurma isteklerini içerir.
Symantec ve VMware Carbon Black gibi güvenlik firmaları, ilişkili kötü amaçlı yazılım göstergelerini engellemek için algılama politikaları uyguladılar.
Kullanıcılar şunlara tavsiye edilir:
- Doğrulanmamış kaynaklardan uygulamaları indirmekten kaçının.
- Etkileşime girmeden önce iş tekliflerini ve şirket ayrıntılarını çapraz kontrol edin.
- Infostealers’ı algılayabilen ve engelleyebilen sağlam uç nokta koruma araçlarını kullanın.
Siber suçlular gelişmekte olan teknolojilerden ve endüstrilerden yararlanmaya devam ettikçe, iş arayanlar temkinli kalmalı ve dijital varlıklarını korumak için güçlü siber güvenlik uygulamaları benimsemelidir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.