Kötü amaçlı yazılım cüzdanları fotoğraflar aracılığıyla hedefler

Blockchain ve kripto para birimi, kripto para birimi sahtekarlığı, sahtekarlık yönetimi ve siber suç

Ayrıca: Coinmarketcap Saldırısı, Bitpro Lazarus’u 11 milyon dolarlık hack için suçluyor

Rashmi Ramesh (Rashmiramesh_) •
26 Haziran 2025

Her hafta, Bilgi Güvenliği Medya Grubu dijital varlıklarda siber güvenlik olaylarını toplar. This week, a new malware targeted crypto wallets via photos, a CoinMarketCap attack drained wallets, BitoPro blamed Lazarus for an $11M heist, Trezor warned of phishing campaign, France saw its 10th crypto kidnapping this year, cops re-arrested a teen behind $245M bitcoin theft, Hacken blamed human error for exploit wiping out 98% of its value and Self Chain ousted Ponzi şeması iddiaları üzerinde CEO.

Ayrıca bakınız: Ondemand | NSM-8 Son Tarih Temmuz 2022: Kuantum-Dayanıklı Algoritmalar Uygulaması için Anahtarlar

Araştırmacılar, kripto para birimi cüzdan tohumu ifadelerini hasat etmek için Android ve iOS cihazlarından fotoğraf çaldıkları “Sparkkitty” olarak adlandırdıkları bir kötü amaçlı yazılım suşu keşfettiler. Kaspersky tarafından tanımlanan Sparkkitty, görüntü dosyalarından kurtarma ifadelerini çıkarmak için optik karakter tanıma kullanan SparkCat’in bir evrimi gibi görünüyor. Sparkkitty, mesajlaşma, kripto borsaları ve Google Play ve Apple App Store’da modifiye veya “modifiye” oyunlar ve resmi olmayan kaynaklar gibi meşru uygulamalarla yayılıyor.

Kötü amaçlı yazılım, cihazın fotoğraf galerisine erişim ister. Android’de, tüm görüntüleri yükler, bazen cihaz meta verileri ile birlikte OCR kullanarak metinli olanları filtreler. İOS’ta, yeni görüntüler için izler ve erişim kazandıktan sonra bunları söndürür.

CoinMarketCap, ziyaretçilerini kötü niyetli bir Web3 açılır penceresi aracılığıyla kripto drenajlı bir aldatmaca maruz bırakan bir tedarik zinciri saldırısı geçirdi. Olay, 20 Haziran’da kullanıcıların cüzdanlarını Coinmarketcap’a bağlamak için istemler gördüğü zaman başladı. Bilmeden uyanlar, fonları çalan bir cüzdan drenaj komut dosyasıyla etkileşime girdiler.

İhlal, sitenin ana sayfası doodle görüntüsünde bir güvenlik açığından yararlandı. CoinMarketcap, saldırganların Doodle’ı teslim eden API ile uğraştığını ve değiştirilmiş bir JSON yükü aracılığıyla kötü niyetli JavaScript enjekte ettiğini söyledi. Bu senaryo, barındırılan static.cdnkit.iomeşru web3 isteklerini taklit eden sahte bir cüzdan bağlantı açılır penceresini tetikledi.

Tayvanlı Kripto Borsası Bitopro, platformundan Kuzey Kore’nin Lazarus Grubuna 11 milyon dolarlık bir hırsızlık atfetti. Saldırı 8 Mayıs’ta sıcak bir cüzdan sistemi yükseltmesi sırasında gerçekleşti. Bilgisayar korsanları, Ethereum, Tron, Solana ve Polygon blok zincirlerindeki eski bir cüzdandan fon çekme sürecinden yararlandı. Bitopro’nun iç soruşturması, olayı önceki yüksek profilli soygunlara benzeyen saldırı modellerine dayanarak Lazarus ile ilişkilendirdi.

Saldırganlar, bir bulut operasyonları çalışanının cihazını kötü amaçlı yazılımlarla enfekte etmek, AWS oturumu jetonlarını ele geçirmek ve çok faktörlü kimlik doğrulamasını atlamak için sosyal mühendislik kullandı. Algılamayı önlemek için normal davranışı taklit ederken cüzdan altyapısına kötü niyetli komut dosyaları teslim ettiler. Çalınan varlıklar, merkezi olmayan borsalar ve Tornado Cash ve Thorchain gibi mikserler ile hızla yıkandı.

Bitopro, 2 Haziran’da ihlali kabul etti ve içeriden katılımın olmadığını doğrulamadı. Borsa ayrıca rezerv kullanarak etkilenen cüzdanları yeniledi ve 11 Haziran’a kadar adli bir soruşturmayı tamamladı.

Trezor, kullanıcıları meşru [email protected] adresinden aldatıcı e -postalar göndermek için otomatik destek bilet sisteminden yararlanan bir kimlik avı kampanyası konusunda uyardı. Saldırganlar, platformun daha sonra otomatik olarak ortaya çıktığı, mesajların otantik görünmesini sağlayan “güvenli varlıklar” istemleri gibi acil, kimlik avı bağllı konu satırlarını kullanarak destek biletleri göndererek sistemi kötüye kullanıyorlar.

Kimlik avı e -postaları, alıcıları trezor arayüzlerini taklit eden ve kullanıcıları cüzdan tohum ifadelerini girmeye teşvik eden kötü amaçlı web sitelerine yönlendirir – bu 24 kelimelik kurtarma ifadeleri, Trezor’un donanım cihazlarında saklanan kripto para cüzdanlarına ana anahtar olarak hizmet eder. Çalınırsa, saldırganlar bir kullanıcı fonlarına tam erişim sağlayabilir. Trezor, destek sisteminin daha fazla kötüye kullanılmasını önlemek için savunmalar üzerinde çalıştığını söyledi.

Fransa, kurbanları kripto para birimini devretmeye zorlamayı amaçlayan “anahtar saldırıları” fiziksel saldırılarında bir artış göstererek yılın 10. kripto ile ilişkili kaçırılmasını kaydetti. En son olayın, 23 yaşındaki bir adamın ayak işleri yaparken kaçırıldığı Paris yakınlarındaki Maisons-Alfort’ta olduğu bildirildi. Saldırganlar onu eşini aramaya ve bir defter donanım cüzdanı ve 5.000 Euro nakit teslim etmesini istedi. Kurban, elden çıktıktan sonra yakındaki Creteil’de zarar görmeden serbest bırakıldı. Le Parisien, kaçırma sırasında şiddetin kullanıldığını bildirdi. Bu tür olayların küresel bir veritabanını sürdüren Cypherpunk Jameson Lopp, Fransa’nın bu yıl dünya çapında bildirilen 32 anahtar saldırısının yaklaşık üçte birini oluşturduğunu söyledi. Cambridge Üniversitesi’ndeki araştırmacılar, birçok olayın korku veya gizlilik endişeleri nedeniyle bildirilmediğini söylüyor.

Connecticut, Danbury’den 19 yaşındaki Veer Chetal, Ağustos 2024’te bir Genesis Alacaklı’nın 245 milyon dolarlık Bitcoin hırsızlığındaki rolünden suçlu bulundu. Online “Wiz” olarak bilinen Chetal, yetkililerle işbirliği yaptı ve lüks mallar ve 36 milyon doların üzerinde Ethere. 24 yıla kadar hapis cezasına çarptırıldı, ancak mahkumiyet bekleyen tahvil ile serbest bırakıldı.

Orijinal 245 milyon dolarlık hırsızlıktan bir hafta sonra, Chetal’in ebeveynleri, beşi onlara karşı suçlamalardan suçlu olduğunu iddia eden altı maskeli bir grup tarafından kaçırılma girişiminde bulundu.

Yeni mühürlenmemiş mahkeme belgeleri, yetkililerin serbest bırakılırken 2 milyon dolarlık bir kripto hırsızlığı yaptığını keşfettikten sonra Chetal’ın Ocak ayında yeniden tutuklandığını gösteriyor. Program, İkizler Desteği kisvesi altında cüzdan tohumu ifadesini ortaya çıkarmaya yönelik New Jersey sakini sosyal mühendislik içeriyordu. Müfettişler, çalınan fonları Chetal’a bağladılar ve gerçek IP adresini ortaya çıkaran bir VPN sızıntısı ile annesinin evine kadar uzandı. Chetal’in hırsızlıktan 200.000 dolarlık geliri kumar oynadığı ve fonları aldıktan sadece birkaç dakika sonra tek bir çevrimiçi bahiste kaybettiği bildirildi.

Ukraynalı siber güvenlik firması Hacken, sızdırılmış bir özel anahtarın Hai jetonunun bir istismarına neden olduğunu ve bir saldırganın yaklaşık 900 milyon jeton nane bırakmasına ve varlığın değerini yaklaşık%98 oranında düşürmesine izin verdiğini söyledi. Saldırgan hem Ethereum hem de BNB zincirlerinde bir Minter hesabından yararlandı, merkezi olmayan borsalara jeton attı ve yaklaşık 250.000 dolar çaldı.

İstismar neredeyse iki katına çıktı ve piyasa değerini 12,7 milyon dolardan 7,2 milyon dolara gönderdi. Hacken, eski adıyla Twitter’da X’teki hatayı kabul etti ve yıllar önce çoklu bir köprü kurulumunun uygulanamamasının ihlallere katkıda bulunduğunu söyledi. Tahminen Minter rolü daha sonra iptal edildi ve başka hiçbir hesap etkilenmedi.

Firma, gelecekteki bir jeton takasını ve Hacken Equity ile potansiyel birleşmeyi ima ederek, kombine varlığa 100 milyon doların üzerinde bir değer kazandı. Hacken’in kendi son Web3 güvenlik raporu, insan ve izin başarısızlıklarının şimdi alandaki en büyük tehditler olarak akıllı sözleşme hatalarından ağır bastığı konusunda uyardı.

Blockchain Project Self Chain, kullanıcılar onu 50 milyon dolardan fazla yatırımcıları dolandıran bir reçetesiz kripto aldatmacasına bağladıktan sonra Ravindra Kumar’ı CEO olarak kaldırdı. Proje, Kumar’ın fesihini açıkladı ve aylarca süren Ponzi planını düzenlediği iddialarından sonra tüm bağları ve sorumlulukları kopardı.

Sahtekarlık Kasım ayında başladı ve Telegram brokerleri GRT, APT, SEI ve SUI gibi indirimli jetonlar sunuyor. Erken katılımcılar daha büyük mevduat teşvik ederek ödeme aldı. Ancak Mayıs ayına kadar, Mysten Labs’ın kurucu ortağı Adeniyi Abiodun gibi endüstri rakamları, indirimli SUI tahsisi olmadığı konusunda uyardı. Operatörler jeton teslim edemediğinde aldatmaca çöktü ve daha önceki yatırımcılara ödeme yapmak için yeni fonların kullanıldığını ortaya koydu.

Aza Ventures CEO’su Mohammed Waseem, “Kaynak 1” olarak bilinen bir komisyoncunun sahtekarlığa dönmeden önce başlangıçta gerçek jetonlar teslim ettiğini söyledi. Kumar kaynak 1 olmadığını söyledi.