Siber suçluların, Aurora kripto cüzdan hırsızı ile Nvidia sürücülerini arayan oyuncuları hedef aldığı iddia ediliyor. Ancak, sahte Nvidia sürücüleri dolandırıcılığından etkilenen kişilerin sayısı ve çalınan veri miktarı henüz bilinmiyor.
Alan adları, barındırma, güvenlik araçları ve daha fazlasını sağlayan teknoloji şirketi Namecheap, bir araştırmacının tweet’ine yanıt verdi. ULTRAUDAurora kripto cüzdan hırsızını yaymak için sahte Nvidia sürücüleri web sitelerinin kullanıldığı iddia edilen hedef kampanyanın ayrıntılarını paylaşan. Şirket, dahili soruşturmalara devam edebilmeleri için araştırmacıdan bir bilet göndermesini istedi.
Hileli Nvidia sürücüleri dolandırıcılığı hakkında ayrıntılar
Dolandırıcılar, kullanıcıları Nvidia sürücülerini indirmek için resmi Nvidia web sitesi olduğuna inandırmak için sahte bir web sitesi kullandı.
Şimdiye kadar siber saldırı hakkında pek bir şey bulunamadı. Bununla birlikte, Aurora hırsızı hakkında Cyble tarafından hazırlanan bir rapora dayanarak, sahte Nvidia sürücüleri web sitesinin kripto cüzdanı tarayıcı uzantılarından veri çaldığı sonucuna varılabilir.
Aşağıdaki sahte web siteleri araştırmacı tarafından bulundu:
- /indir-nwidia.web sitesi
- /babieschristeningoutfits.com
İlk bağlantı, resmi Nvidia’dan ‘v’ ile bir yazım değişikliğine sahiptir. Dolandırıcılar, şüphelenmeyen kullanıcıları ikna etmek için genellikle neredeyse aynı ayrıntıları kullanarak sahte veya sahte web siteleri oluşturur. Bu nedenle, kullanıcıların URL’yi kontrol ederek Nvidia sürücülerini resmi web mağazalarından ve sitelerinden indirmeleri önerilir.
Aurora hırsızı
Cyble Research & Intelligence Labs (CRIL), kimlik avı web sitelerinin, Aurora hırsızını kullanan tehdit aktörleri tarafından yalnızca veri çalmak için değil, aynı zamanda sisteme daha fazla kötü amaçlı yazılım ve Uzaktan Erişim Truva Atı (RAT) indirmek için de kullanıldığını belirtti.
Önceki olaylarda bazı kullanıcılara, kimlik avı e-postalarındaki bağlantılar biçiminde sahte web siteleri gönderildi. Aurora hırsızı tarafından hedeflenen uzantı kimliklerinden birkaçı aşağıda belirtilmiştir:
- Meta Maske
- Yoroi
- TronLink
- Şık Cüzdan
- Coinbase Cüzdanı
- Cesur Cüzdan
- Cüzdan Muhafızı
- BitApp Cüzdanı
Aurora Stealer, kullanımındaki çok yönlülük ve maksimum kullanıcıyı etkilemek için çeşitli uygulamaların ve web sitelerinin kimliğine bürünmesi nedeniyle bir ‘şekil değiştirme’ taktiği olarak bilinir. Aurora kötü amaçlı yazılımı Telegram, Discord ve Steam uygulamalarındaki kullanıcıları da hedefler. Çalınan verileri JSON formatında kaydeder.
Daha sonra verileri GZIP kullanarak sıkıştırır, zip dosyasını Base64 kodlama biçimine dönüştürür ve son olarak siber suçlunun komuta ve kontrol sunucusuna gönderir.