Şüpheli Rus tehdit aktörleri, güvenliği ihlal edilmiş ana bilgisayarlara bilgi çalan kötü amaçlı yazılım yüklemek için yem olarak sahte iş fırsatlarıyla kripto endüstrisindeki Doğu Avrupalı kullanıcıları hedefliyor.
Trend Micro araştırmacıları Aliakbar Zahravi ve Peter Girnus bu hafta bir raporda, saldırganların “kripto para birimi endüstrisinde yer alan kişilere Enigma hırsızı bulaştırmak için oldukça karmaşık ve az gelişmiş birkaç özel yükleyici kullandığını” söyledi.
Enigma’nın hırsız, kırpıcı ve keylogger gibi davranan açık kaynaklı C# tabanlı bir kötü amaçlı yazılım olan Stealerium’un değiştirilmiş bir versiyonu olduğu söyleniyor.
Karmaşık bulaşma yolculuğu, kimlik avı veya sosyal medya platformları aracılığıyla dağıtılan hileli bir RAR arşiv dosyasıyla başlar. Biri, kripto para birimiyle ilgili bir dizi örnek görüşme sorusu içeren bir .TXT dosyası olan iki belge içerir.
İkinci dosya, bir tuzak görevi görürken, birinci aşama Enigma yükleyicisini başlatmakla görevli bir Microsoft Word belgesidir;
“Bir sonraki aşama yükünü indirmek için, kötü amaçlı yazılım önce saldırganın kontrolündeki Telegram kanalına bir istek gönderir. […] “Dosya yolunu elde etmek için” dedi araştırmacılar. “Bu yaklaşım, saldırganın sürekli olarak güncelleme yapmasına olanak tanır ve sabit dosya adlarına güvenilmesini ortadan kaldırır.”
Yükseltilmiş ayrıcalıklarla yürütülen ikinci aşama indirici, Microsoft Defender’ı devre dışı bırakmak ve Kendi Güvenlik Açığınızı Getir adlı bir teknikle CVE-2015-2291’e karşı savunmasız olan yasal olarak imzalanmış bir çekirdek modu Intel sürücüsünü dağıtarak üçüncü aşamayı yüklemek üzere tasarlanmıştır. Sürücü (BYOVD).
ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatının (CISA), vahşi ortamda aktif sömürüye ilişkin kanıtlara atıfta bulunarak güvenlik açığını Bilinen Yararlanılan Güvenlik Açıkları (KEV) kataloğuna eklediğini belirtmekte fayda var.
Üçüncü aşama yükü, eninde sonunda Enigma Stealer’ı oyuncu tarafından kontrol edilen bir Telegram kanalından indirmenin yolunu açar. Kötü amaçlı yazılım, diğer hırsızlar gibi, hassas bilgileri toplama, tuş vuruşlarını kaydetme ve ekran görüntüleri yakalama özelliklerine sahiptir ve bunların tümü Telegram aracılığıyla geri sızdırılır.
Sahte iş teklifleri, Kuzey Kore destekli Lazarus Group’un kripto sektörünü hedef alan saldırılarında kullandığı denenmiş ve test edilmiş bir taktiktir. Bu modus operandi’nin Rus tehdit aktörleri tarafından benimsenmesi, “sürekli ve kazançlı bir saldırı vektörünü gösteriyor.”
Bulgular, Uptycs’in, diğerlerinin yanı sıra Armory, Atomic Wallet, Coinomi, Electrum, Exodus, Guarda, Jaxx Liberty ve Zcash gibi kripto para cüzdanları için kimlik bilgileri de dahil olmak üzere kişisel verileri sifonlamak için Stealerium kötü amaçlı yazılımını kullanan bir saldırı kampanyasının ayrıntılarını yayınlamasıyla geldi.
Cyble teknik bir yazıda, Enigma Stealer ve Stealerium’a kripto para cüzdanlarını hedeflemede katılan Vector Stealer adlı bir başka kötü amaçlı yazılımın da .RDP dosyalarını çalma yetenekleriyle birlikte geldiğini ve tehdit aktörlerinin uzaktan erişim için RDP ele geçirmesi gerçekleştirmesini sağladığını söyledi.
Siber güvenlik firmaları tarafından belgelenen saldırı zincirleri, kötü amaçlı yazılım ailelerinin kötü amaçlı makrolar içeren Microsoft Office ekleri aracılığıyla teslim edildiğini gösteriyor;
Fortinet FortiGuard Labs’a göre benzer bir yöntem, İspanyol kullanıcıları hedefleyen bir kripto hırsızlığı ve kimlik avı kampanyasının zemininde bir Monero kripto madencisini konuşlandırmak için de kullanıldı.
Gelişme aynı zamanda kurbanların kripto para varlıklarını platformlar arasında çalmayı amaçlayan uzun bir saldırı listesinin en sonuncusu.
Bu, kripto cüzdanlarının yanı sıra banka ve finans uygulamalarından kimlik bilgilerini ve fonları yağmalayan, TgToxic olarak adlandırılan “hızla gelişen” bir Android bankacılık truva atını içerir. Temmuz 2022’den beri aktif olan ve devam eden kötü amaçlı yazılım kampanyası, Tayvan, Tayland ve Endonezya’daki mobil kullanıcılara yöneliktir.
“Kurban, tehdit aktörü tarafından verilen web sitesinden sahte uygulamayı indirdiğinde veya kurban, WhatsApp veya Viber gibi mesajlaşma uygulamaları aracılığıyla tehdit aktörüne doğrudan mesaj göndermeye çalıştığında, siber suçlu kullanıcıyı kandırarak kötü amaçlı yazılımı kaydetmesini ve yüklemesini sağlar. ve ihtiyaç duyduğu izinleri etkinleştiriyor,” dedi Trend Micro.
Sahte uygulamalar, yetkisiz fon transferlerini gerçekleştirmek için Android’in erişilebilirlik hizmetlerini kötüye kullanmanın yanı sıra, Easyclick ve Auto.js gibi meşru otomasyon çerçevelerini tıklamalar ve hareketler gerçekleştirmek için kötüye kullanmalarıyla da dikkat çekiyor ve bu da onu, bu tür iş akışı IDE’lerini dahil etmek için PixPirate’den sonra ikinci Android kötü amaçlı yazılımı yapıyor. .
Ancak sosyal mühendislik kampanyaları, saldırıya uğramış cüzdanlardan Ethereum ve NFT’leri aktarmak amacıyla popüler kripto hizmetlerini taklit eden inandırıcı açılış sayfaları oluşturarak sosyal medya kimlik avı ve smishing’in ötesine geçti.
Recorded Future’a göre bu, kimlik avı sayfasına, kurbanları cüzdanlarını misli olmayan tokenler (NFT’ler) basmak için kazançlı tekliflerle bağlamaya çeken bir kripto boşaltıcı komut dosyası enjekte edilerek elde ediliyor.
Bu tür hazır kimlik avı sayfaları, hizmet olarak kimlik avı (PhaaS) adı verilen şeyin bir parçası olarak darknet forumlarında satılıyor ve diğer aktörlerin bu paketleri kiralamasına ve hızlı bir şekilde geniş ölçekte kötü niyetli operasyonlar gerçekleştirmesine izin veriyor.
Şirket, geçen hafta yayınlanan bir raporda, dolandırıcılığın etkili olduğunu ve popülaritesinin arttığını belirterek, “‘Kripto süzgeçler’, e-skimmers gibi işlev gören ve kurbanların kripto varlıklarını çalmak için kimlik avı teknikleriyle konuşlandırılan kötü amaçlı komut dosyalarıdır.”
“Kripto sızdırıcı kimlik avı sayfalarında yasal hizmetlerin kullanılması, kimlik avı sayfasının başka türlü anlayışlı bir kullanıcının ‘dolandırıcılık turnusol testinden’ geçme olasılığını artırabilir. Kripto cüzdanları ele geçirildikten sonra, varlıkların saldırganların cüzdanlarına yasa dışı transferini önleyecek hiçbir koruma mevcut değildir.”
Saldırılar, suç gruplarının 2022’de kripto işletmelerinden rekor kıran 3,8 milyar dolar çaldığı bir zamanda gerçekleşti ve artışın çoğu Kuzey Kore devlet destekli bilgisayar korsanlığı ekiplerine atfedildi.