Cisco Talos’un yakın tarihli bir raporuna göre, Kuzey Kore bağlantılı bilgisayar korsanlığı grubu Famous Chollima, kurbanları kripto para birimini ve kullanıcı kimlik bilgilerini çalmak üzere kötü amaçlı yazılım yüklemeleri için kandırmak amacıyla sahte iş teklifleri kullanarak bir kez daha iş piyasasını istismar ediyor.
BeaverTail ve OtterCookie Saldırıları Genişletmek İçin Birleşiyor
Tehdit, Cisco Talos’un işlevlerini birleştirdiğini tespit ettiği iki kötü amaçlı yazılım ailesinden, BeaverTail ve OtterCookie’den geliyor. Bu, saldırganların gelecekteki saldırı kampanyaları için araçlarını birleştirdiklerini gösteriyor.
Cisco Talos, bu kampanyayı, merkezi Sri Lanka’da bulunan bir kuruluşta bir sisteme virüs bulaşmasının ardından tespit etti. Bulaşma yolu, bir kullanıcının Chessfi gibi Truva atı yüklü bir uygulamayı yüklemeye ikna edilmesiyle başlar. Kullanıcı ‘npm install’ komutunu çalıştırarak “adlı gizli bir kötü amaçlı paket indiriyor”node-nvm-ssh.”
Bu paket, karmaşık bir dizi komutu yürütmek için özel talimatlar kullanır ve sonunda birleştirilmiş BeaverTail ve OtterCookie kodunu içeren oldukça gizlenmiş dosyayı yükler.
Kötü Amaçlı Yazılım Gelişimi
Kötü amaçlı yazılımın evrimi, veri hırsızlığı yeteneklerinde açık bir artış olduğunu gösteriyor; En eski sürümler (Eylül – Kasım 2024 (V1)) tarayıcı profillerini çalmaya odaklanırken V2 (Kasım 2024 – Şubat 2025) pano içeriğini çalmak için bir modül ekledi. Ardından V3 (Şubat – Nisan 2025), takılı tüm disk sürücülerden belirli dosyaları çalmaya başladı.
Ancak en endişe verici gelişme, OtterCookie’nin V5 olarak adlandırılan (Nisan ve Ağustos 2025 arasında görüldü) en son sürümüdür ve artık güçlü yeni yetenekler içermektedir. Bu sürüm, her tuş vuruşunu kaydetmek için bir tuş kaydı modülü ve her dört saniyede bir kullanıcının masaüstünün ekran görüntüsünü alan bir ekran görüntüsü modülü ekler. Tuş vuruşları ve görüntüler daha sonra bilgisayar korsanının komuta ve kontrol (C2) sunucusuna yüklenir.
Yüksek Değerli Hedefler ve Gelişmiş Kaçınma
Bu kampanyanın temel amacı, özellikle popüler kripto para birimi tarayıcı uzantıları ve cüzdanlarından oluşan uzun bir listeyi hedef alarak finansal verileri çalmak. Bildiğimiz gibi, bir kullanıcının kripto varlıkları yalnızca cüzdan güvenliği kadar güvenlidir ve bu noktada kampanya daha da sinsileşir; çünkü OtterCookie, MetaMask, Trust Wallet, Binance Chain Wallet (BAKA BEW lite) ve diğerleri gibi güvenli hesapların peşine düşmek üzere tasarlanmıştır.
Dahası araştırmacılar, saldırganların temel işlevleri kötü amaçlı yazılımın ana JavaScript koduna dahil etmeye başladığını ve böylece Python gibi diğer programlama araçlarına olan bağımlılığı azalttığını belirtiyor. Bu, saldırıları daha çok yönlü hale getiriyor ve özellikle de kripto para birimi uzantısı hırsızı için Google Chrome ve Brave gibi popüler tarayıcıları hedef alarak dağıtılmasını kolaylaştırıyor.
Bu hayati araştırma yalnızca Hackread.com ile paylaşıldı. Bu, Kuzey Kore’nin siber stratejisinin ağırlıklı olarak iş temelli dolandırıcılıklara dayandığını kanıtlıyor. Bu, Hackread.com’un kapsadığı Silent Push gibi firmalardan gelen ve Lazarus Grubunun BlockNovas LLC gibi sahte şirketler aracılığıyla kripto işi arayanları hedef aldığını ayrıntılarıyla anlatan daha önceki raporların ardından geldi. İlginç bir şekilde, aynı BeaverTail ve OtterCookie kötü amaçlı yazılımı daha önceki saldırılarda da bulundu ve şimdi bir sonraki dalga için yükseltiliyor.