Yeni keşfedilen bir kampanya Açgözlü popüler kripto para birimi cüzdanlarını taklit etmek ve dijital varlıklarda 1 milyon dolardan fazla çalmak için tasarlanmış Firefox pazarına 150’den fazla kötü niyetli uzantıyı kullandı.
KOI güvenlik araştırması Tuve Admoni, yayınlanmış tarayıcı eklentileri Masquerade Asmetamask, Tronlink, Çıkış ve Haham Cüzdanı, Mosts, dedi.
Etkinliği dikkate değer kılan şey, tehdit oyuncusunun, siber güvenlik şirketinin Mozilla ve kullanıcı güvenini istismar ettirme korumalarını atlamak için Extension Hollowing adlı bir tekniği kullanmasıdır. Kampanyanın bazı yönlerinin ilk olarak geçen hafta güvenlik araştırmacısı Lukasz Olejnik tarafından belgelendiğini belirtmek gerekir.
Admoni Perşembe günü yayınlanan bir raporda, “İlk incelemeleri geçmişte kötü niyetli uzantılara gizlice girmeye çalışmak yerine, önce meşru görünen uzatma portföyleri inşa ediyorlar, daha sonra kimsenin izlemediğinde onları silahlandırıyorlar.” Dedi.
Bunu başarmak için, saldırganlar önce piyasada bir yayıncı hesabı oluşturur, ilk incelemeleri ortadan kaldırmak için gerçek bir işlevsellik olmadan zararsız uzantılar yükler, bir güvenilirlik yanılsaması oluşturmak için sahte olumlu incelemeler yayınlar ve iç kısımlarını kötü niyetli yeteneklerle değiştirir.
Sahte uzantılar, şüpheli olmayan kullanıcılar tarafından girilen cüzdan kimlik bilgilerini yakalamak ve bunları saldırgan kontrollü bir sunucuya eklemek için tasarlanmıştır. Ayrıca, olası izleme amaçları için kurbanların IP adreslerini toplar.
Kampanya, Mozilla Firefox için en az 40 kötü amaçlı tarayıcı uzantısı yayınlayan tehdit aktörlerini içeren Foxy Cüzdan adlı önceki bir yinelemenin bir uzantısı olarak değerlendirildi. Uzatma sayısındaki en son artış, operasyonun artan ölçeğini gösterir.
Sahte cüzdan kripto para birimi drenaj saldırıları, çatlak ve korsan yazılımları seyreden çeşitli Rus siteleri aracılığıyla kötü niyetli yürütülebilir dosyaları dağıtan kampanyalar tarafından artırılır ve bilgi çalmacıların ve hatta fidye yazılımlarının konuşlandırılmasına yol açar.
GreedyBear aktörleri, cüzdan onarım araçları gibi kripto para ürünleri ve hizmetleri olarak poz veren aldatmaca siteleri kurmayı, kullanıcıları cüzdan kimlik bilgileriyle veya ödeme ayrıntılarıyla ayrılmak için kandırarak kimlik hırsızlığı ve finansal sahtekarlıkla sonuçlandı.
KOI Security, bu çabalarda kullanılan alanların yalnız bir IP adresine işaret etmesi gerçeğine dayanarak üç saldırı sektörünü tek bir tehdit aktörüne bağlayabildiğini söyledi: 185.208.156[.]66, veri toplama ve yönetimi için bir komut ve kontrol (C2) sunucusu görevi görür.
Uzatmayla ilgili saldırıların diğer tarayıcı pazarlarını hedeflemek için dallandığını gösteren kanıtlar var. Bu, aynı C2 sunucusunu kullanan Filecoin cüzdanı adlı bir Google Chrome uzantısının keşfine dayanır.
Daha da kötüsü, eserlerin bir analizi, yapay zeka (AI) güçlü araçlar kullanılarak oluşturulmuş olabileceğine dair işaretleri ortaya çıkarmıştır. Bu, tehdit aktörlerinin ölçekli ve hızda saldırıları sağlamak için AI sistemlerini nasıl giderek daha fazla kötüye kullandıklarını vurgulamaktadır.
Admoni, “Bu çeşit, grubun tek bir araç seti kullanmadığını, daha ziyade taktikleri gerektiği gibi değiştirebilen geniş bir kötü amaçlı yazılım dağıtım boru hattını kullandığını gösteriyor.” Dedi.
“Kampanya o zamandan beri farkı şimdi ölçek ve kapsam.
Ethereum drenajları kripto çalmak için botlar ticareti olarak poz verir
Açıklama, SentinelOne’un kullanıcı cüzdanlarını boşaltmak için bir ticaret botu olarak gizlenmiş kötü niyetli bir akıllı sözleşmenin dağıtılmasını gerektiren yaygın ve devam eden bir kripto para aldatmacasını işaretlediği gibi geliyor. 2024’ün başından beri aktif olan hileli Ethereum drenaj şemasının, tehdit aktörlerini çalıntı karda 900.000 dolardan fazla netleştirdiği tahmin ediliyor.
Araştırmacı Alex Delamotte, “Dolandırıcılık, kripto ticaret botunun iddia edilen doğasını açıklayan ve Web3 projeleri için Web tabanlı bir entegre geliştirme ortamı (IDE) Remix Solidite Derleyici Platformu’na nasıl dağıtılacağını açıklayan YouTube videoları aracılığıyla pazarlanıyor.” Dedi. “Video açıklamaları, silahlandırılmış akıllı sözleşme kodunu barındıran harici bir sitenin bağlantısını paylaşıyor.”
Videoların AI tarafından üretildiği ve diğer kaynakların kripto para birimi haberlerini meşruiyet oluşturmak amacıyla çalma listesi olarak yayınlayan yaşlı hesaplardan yayınlandığı söyleniyor. Videolar ayrıca, tehdit aktörlerinin yorum bölümlerini aktif olarak küratörlüğünü yaptıklarını ve olumsuz geri bildirimleri kaldırdığını gösteren ezici bir çoğunlukla olumlu yorumlar içeriyor.
Dolandırıcılığa iten YouTube hesaplarından biri Ekim 2022’de oluşturuldu. Bu, ya sahtekarların yavaşça ve sürekli olarak hesabın güvenilirliğini artırdığını veya bu tür yaşlı YouTube kanallarını Telegram ve ACCS-Market ve Aged profilleri gibi özel siteler satan bir hizmetten satın almış olabileceğini gösteriyor.
Saldırı, mağdur akıllı sözleşmeyi konuşlandırdığında bir sonraki aşamaya geçer, bundan sonra kurbanlara ETH’yi yeni sözleşmeye göndermeleri talimatı verilir, bu da fonların gizlenmiş bir tehdit aktör kontrol cüzdanına yönlendirilmesine neden olur.
Delamotte, “AI tarafından üretilen içerik ve satışa sunulan yaşlı YouTube hesaplarının kombinasyonu, mütevazı bir şekilde kaynaklanan herhangi bir aktörün, algoritmanın ‘yerleşik’ olduğunu düşündüğü bir YouTube hesabı alabileceği ve yanlış bir meşruiyet bahanesi altında özelleştirilmiş içerik yayınlamak için silahlandırabileceği anlamına geliyor.” Dedi.