Mızrak-akma hedef kripto yöneticileri, zoom röportajları, kötü amaçlı yazılım, veri hırsızlığı ve cüzdan kaybı yoluyla kullanılan sahte coinmarketcap gazeteci profilleri.
Yeni bir mızrak aktı kampanyası, sahte görüşme talepleri ile kripto endüstrisindeki yöneticileri hedefliyor. Saldırganlar, meşru görünmek için şirketin web sitesindeki aktif profillerini kullanarak CoinMarketCap ile bağlantılı gazetecileri taklit ediyor.
Gerçek kimlik, gerçek risk
Tehdit istihbarat analistleri, kripto endüstrisindeki yöneticilere yönelik bir mızrak aktı kampanyası belirlediler. Saldırgan, güven oluşturmak için eski bir CoinmarketCap katkıda bulunan kişinin tam adını ve fotoğrafını kullanır.
Doğrudan temasa geçildiğinde, taklit edilen kişi artık CoinmarketCap’a bağlı olmadıklarını doğruladı. Bununla birlikte, adları ve fotoğrafları kamuya açık olarak kalır ve kimlik avı girişimine ek bir güvenilirlik katmanı verir.
Kurulum
Dolandırıcılık şöyle çalışıyor: Hedefler, Web3 inovasyonuna ilişkin bir röportaja katılmaya davet eden bir e -posta alır. Mesaj, CoinmarketCap ekibinden geliyor gibi görünüyor, ancak aslında yalnızca e-posta göndermek için yapılandırılmış sahte, çözücü olmayan bir alandan kaynaklanıyor.
Bu e -postalar profesyonel olarak yazılmıştır ve alanın kendisinin ötesinde şüphe uyandırır. Her biri, hala orijinal CoinmarketCap markalaşmasına sahip, Calendly aracılığıyla bir zoom çağrısı planlamak için bir düğme ile kapanır.
Hedef çağrıya katıldığında, iki karaktere tanıtılırlar: Igor ve Dirk (ikincisi, yakınlaştırma yoluyla görüntülenen kişinin gerçek adını ve profil resmini kullanarak eski bir CoinmarketCap editörünü taklit eden).
Kısa bir giriş ve küçük konuşmadan sonra Igor, hedeften, not alma uygulamasının aksi takdirde arızalanacağını iddia ederek uygulamalarının dilini cilalamak için değiştirmesini ister. Hatta suç ortağı ile sohbet ederek sohbet eder: “Tıpkı diğer röportajla son kez yaptığımız gibi. Dirk, onu sonuna cilalamak için değiştirmeme yardım et. fazla. ”
Daha sonra “dili değiştirmeye yardımcı olmak” için hedefin işletim sistemini sorma fırsatını yakalar. Bu işlem, şimdi Lehçe’de çalışan bir yakınlaştırma yeniden başlatılmasına yol açar.
Röportaj devam ediyor ve dakikalar sonra, biri mavi olarak vurgulanan iki seçenekle Lehçe ile bir açılır bir pop-up ortaya çıkıyor. Bu standart bir zoom istemidir: “Uzak bir katılımcı ekranınızın kontrolünü ele geçirmek istiyor.”
Kabul etmek, saldırgana hedefin klavyesi ve faresi (kötü amaçlı yazılım dağıtmak, dosyaları ve kripto cüzdanlarını çalmak için yeterli) üzerinde tam kontrol verecektir.
Uzaktan kumanda
Tehdit aktörleri, birçok kurumsal ortamda varsayılan olarak etkinleştirildiği ve genellikle bir saldırı vektörü olarak fark edilmediğinden Zoom’un uzaktan kumanda özelliğini kullanır. Kullanıcılar genellikle Zoom’un kötü niyetli bir şekilde kullanılmasını beklemez ve biri bir şeyin kapalı olduğunu fark edebileceklerini düşünürken, çoğu çağrı sırasında dikkati dağılmıştır.
Uygulamada, uzaktan erişim verildikten sonra, kötü amaçlı yazılım dağıtımı sadece saniye sürebilir: bir yürütme istemini açmak, bir komut yapıştırmak ve Enter tuşuna basmak sistemi tehlikeye atmak için yeterlidir. Bu taktik, özellikle kripto profesyonellerine yönelik hedefli saldırılarda oldukça etkili olduğunu kanıtladı, yüksek profilli kurbanlar ve etkileyiciler zaten bu konuda kamuoyu uyardı.
Bu yaklaşım, kurbanlara adımları kendileri yapmaları istenen son ClickFix saldırıları dalgasına benziyor. Buradaki fark, saldırganın prosedürü doğrudan uzaktan kumanda yoluyla yürütmesidir, bu da onu çok daha tehlikeli ve öngörülemez hale getirir.
IOC’ler ve Özet
İhtisas: team-coinmarketcapcom
İhtisas: contact-coinmarketcapcom
E -posta: dirk@team-coinmarketcapcom
E -posta: no-reply@contact-coinmarketcapcom
Referanslar
Orijinal Zeka Nabzı: https://otx.alienvault.com/pulse/688bdd12087cf39d39d15839