Google ve Twitter reklamları, son dokuz ayda 63.210 kurbandan 59 milyon dolar çalan ‘MS Drainer’ adlı kripto para toplayıcıyı içeren sitelerin tanıtımını yapıyor.
ScamSniffer’daki blockchain tehdit analistlerine göre, Mart 2023’ten bugüne kadar süzgeç kullanan on binden fazla kimlik avı web sitesi keşfettiler ve etkinlikte Mayıs, Haziran ve Kasım aylarında ani artışlar gözlemlendi.
Süzgeç, kötü niyetli bir akıllı sözleşme veya bu durumda, kullanıcının kripto para birimi cüzdanındaki fonları rızası olmadan boşaltmak için tasarlanmış eksiksiz bir kimlik avı paketidir.
Kullanıcılar, yasal görünen bir kimlik avı web sitesine yönlendiriliyor ve kötü amaçlı sözleşmeleri onaylamaları için kandırılıyor; bu, zararlının otomatik olarak yetkisiz işlemler yapmasına ve kurbanın parasını saldırganın cüzdan adresine aktarmasına olanak tanıyor.
MS Drainer’ın kaynak kodu, ‘Pakulichev’ veya ‘PhishLab’ adlı bir kullanıcı tarafından siber suçlulara 1.500 dolara satılıyor ve bu kullanıcı aynı zamanda araç seti ile çalınan fonlardan %20 ücret alıyor. Ayrıca PhishLab, kötü amaçlı yazılıma yeni özellikler ekleyen ek modüller satıyor ve bunların maliyeti 500 ile 1.000 ABD Doları arasında değişiyor.
MS Drainer’ın faaliyetlerine ilişkin blockchain verilerine göre, Ethereum zinciri kurbanlarından biri 24 milyon dolar değerinde kripto para birimini kaybederken, diğer önemli vakalar arasında kurbanların 440.000 ila 1,2 milyon dolar arasında kayıplar yaşadığı görülüyor.
Google ve X’te sahte reklamlar
Google Arama’da MS Drainer, Zapper, Lido, Stargate, Defillama, Orbiter Finance ve Radiant gibi DeFi platformlarıyla ilgili anahtar kelimeler için gösterilen kötü amaçlı reklamlar aracılığıyla tanıtılıyor.
Bu reklamların birçoğu, URL’nin sahte projenin resmi alanına aitmiş gibi görünmesini sağlamak için Google Ads’ün izleme şablonundaki boşluktan yararlanıyor. Ancak yeniden yönlendirme, tıklayanları bir kimlik avı sitesine yönlendirir.
Daha çok Twitter olarak bilinen X’te, MS Drainer reklamları o kadar çok ki ScamSniffer, akışlarındaki dokuz kimlik avı reklamından altısının bu reklamlardan kaynaklandığını bildiriyor.
Özellikle, X’teki dolandırıcılık reklamlarının çoğu, reklam gösterildiğinde mavi onay işaretini taşıyan meşru “doğrulanmış” hesaplardan yayınlanmaktadır.
Güvenlik araştırmacısı MalwareHunterTeamkim olmuştur izleme benzer reklamlarBleepingComputer’a, Twitter hesap sahiplerine, kimlik doğrulama çerezlerini veya şifrelerini çalan ve tehdit aktörlerinin saldırıya uğrayan hesaplardan reklam oluşturmasına olanak tanıyan kötü amaçlı yazılım bulaşmış olabileceğine inandıklarını söyledi.
Garip bir şekilde araştırmacı, bir kripto para dolandırıcılığı reklamı yapan bir X hesabıyla konuştu ve kendisine, reklam hesaplarında reklamlara dair hiçbir iz bulunmadığı söylendi.
Siber suçlular, X’te reklamları için birden fazla tema kullandı; bunların arasında, baloncuklar içinde çeşitli karakterler içeren, sözde sınırlı sayıda üretilen bir NFT (değiştirilemez token) koleksiyonunu destekleyen “Ordinals Bubbles” da vardı.
Reklamlar ayrıca NFT airdroplarını ve süzgeç içeren sitelerde yeni token lansmanlarını da teşvik etti.
ScamSniffer, bu reklamlar tarafından kullanılan algılama bypass yöntemlerinden birinin, yalnızca önceden tanımlanmış bölgelerdeki kullanıcıları hedef alan ve geri kalanını meşru/zararsız web sitelerine yönlendiren coğrafi sınırlama olduğunu söylüyor.
Kripto para dolandırıcılığı X’te her zaman iyi performans gösterdi, ancak güvenilir, saldırıya uğramış hesapların artık kötü amaçlı siteleri tanıtan reklamlar göstermesiyle, bu tür saldırıların daha da başarılı olmasını beklemeliyiz.
Kullanıcılar, kripto para birimiyle ilgili reklamları görürken çok dikkatli olmalı ve bırakın cüzdanlarını bağlamayı, yeni platformlara kaydolmadan önce gerekli özeni göstermelidir.