Siber güvenlik şirketi Darktrace, Aralık 2024’te CADO Güvenlik Laboratuarları tarafından daha önceki bulgular üzerine inşa eden Bitcoin kullanıcılarını hedefleyen kalıcı, karmaşık bir sosyal mühendislik kampanyası ortaya çıkardı.
Tehdit aktörleri, kurbanları meşru yazılım olarak gizlenmiş kötü amaçlı yazılımları indirmeye teşvik etmek için yapay zeka, oyun, video konferans, Web3 ve sosyal medya etrafında temalı ayrıntılı başlangıç şirketleri üretiyor.
Meeten kampanyasını anımsatan bu işlemler, beyaz kağıtlar, yol haritaları ve çalışan profilleri için kavram, orta ve github gibi platformları kullanmanın yanı sıra, güvenilirliği artırmak için doğrulanmış X (eski adıyla Twitter) hesaplarından ödün vermeyi içerir.
Profesyonel web siteleri, sahte konferans fotoğrafları, “Zombie In Weer” gibi mevcut başlıklardan oynanan oyun görüntülerini ve hatta SHAM MERCHANDISE mağazaları saldırganları enfeksiyon oranlarını en üst düzeye çıkarmak için ikna edici bir cephe oluşturan gerçek yazılım firmalarını taklit ederek.
Kampanyalar genellikle x, telgraf veya anlaşmazlık ile ilgili doğrudan mesajlar yoluyla başlar ve söz konusu beta yazılımını test etmek için kripto para ödemeleri sunar ve kurbanların sağlanan kayıt kodlarını girdikten sonra platforma özgü ikili dosyaları indirmeye yol açar.
Platformlar arasında kaçınma teknikleri
Windows kullanıcıları için kötü amaçlı yazılım, JavaScript uygulamalarını masaüstü yürütülebilir ürünlere paketleyen açık kaynaklı bir çerçeve olan elektron tabanlı bir uygulama olarak gelir.
Başlatıldıktan sonra, kullanıcı adı, CPU çekirdekleri, RAM, işletim sistemi sürümü, MAC adresi, grafik kartı ve UUID gibi detayları toplayarak sistemi gizlice profilleştirirken bir Cloudflare doğrulama ekranı sunar.
Bir captcha jetonu çıkarılır ve doğrulama için bu verilerin yanı sıra komut ve kontrol (C2) sunucularına gönderilir.
Başarılı doğrulama, sıklıkla Jiangyin Fengyuan Electronics Co., Ltd. ve şimdi revize edilmiş PaperBucketMDB APS gibi kuruluşlardan çalınan sertifikalarla imzalanan yürütülebilir bir veya MSI dosyasının sessiz indirilmesini ve yürütülmesini tetikler.
Python, Crypto cüzdanlarını, tarayıcı verilerini ve kimlik bilgilerini hedefleyen bilgi çalmacılarının dağıtımını kolaylaştıran C2-orchestrated komutları ile geçici dizinlerde getirilir ve saklanır.
Gizli ve anti-sandboxing de dahil olmak üzere anti-analiz önlemleri, tespiti daha da karmaşıklaştırır.
MacOS’ta, kurbanlar, atomik çalma kötü amaçlı yazılımlarında görülen taktiklere benzeyen, gizli bir ikili olarak monte etmek ve yürütmek için elma metnini kullanan önemsiz kod, baz64 kodlama ve xor gizleme kullanan gizlenmiş bir BASH betiği içeren bir DMG dosyası alır.
Bu ikili, kripto cüzdanları, çerezler ve belgeler de dahil olmak üzere, bir ZIP dosyasına sıkıştırılmış ve 45.94.47.167/contact gibi C2 uç noktalarına gönderilen hassas verileri peçeleden önce QEMU, VMware ve Docker-OSX gibi ortamlar için anti-sanalizasyon kontrolleri yapar.
Install.sh ve install_dynamic.sh gibi ek komut dosyaları sunuculardan alınır (örneğin, https://mrajhosdoahjsd.com), girişte otomatik yürütme sağlamak için runatload ve KeepAlive konfigürasyonları ile kalıcılık yoluyla kalıcılık oluşturur.
Objective-C/Swift ile yazılmış olan yükleyici ikili, kullanıcı etkileşimlerini, aktif uygulamaları ve pencere verilerini günlüğe kaydederek, devam eden gözetim için metrikleri uzak sunuculara iletir.
Kaçakçı gruplarına bağlantılar
Bu taktikler, 2025’in başlarında kaydedilen geleceğin detaylandırıldığı gibi, Crazyevil gibi kaçan gruplarına atfedilen operasyonlarla yakından uyumludur.
2021’den beri aktif olan CrazyEvil, kripto etkileyicilere, defi profesyonellerine ve oyunculara karşı sosyal mühendislik konusunda uzmanlaşmıştır ve SEO, reklamlar ve sahte indirmeler yoluyla trafik çeken iştirakler aracılığıyla milyonlarca yasadışı gelir elde eder.
Doğrudan ilişkilendirme belirsizliğini korumakla birlikte, ortak metodolojiler sahte şirketler, sosyal medya sömürüsü ve platformlar arası info-stajcılar gelişen bir tehdit manzarasının altını çizmektedir.
Rapora göre, Darktrace’in araştırması, her biri ilişkili alan, X tutamakları ve kötü amaçlı yazılım karmalarına sahip Polens AI, Buzzu, Swox ve Ebedi Çürümeyi de dahil olmak üzere bir düzineden fazla tanımlanmış sahte varlığı vurgulamaktadır.
Bu kampanya, siber suçluların meşruiyeti aldatma ile harmanlamaya yönelik uzunluklarını örneklendirir ve kullanıcıları, özellikle yüksek bahisli kripto ortamlarında yazılımı indirmeden önce kaynakları titizlikle doğrulamaya çağırır.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge |
|---|---|
| İhtisas | Manboon.com |
| İhtisas | https://gaetanorealty.com |
| İhtisas | Troveur.com |
| İhtisas | Bigpinellas.com |
| İhtisas | Dsandbox.com |
| İhtisas | Conceptwo.com |
| İhtisas | ACEARTIST.COM |
| İhtisas | Turismoelcasco.com |
| İhtisas | Ekodirect.com |
| İhtisas | https://mrajhosdoahjsd.com |
| Url | https://isnimitz.com/zxc/app.zip |
| Url | http://45.94.47.112/contact |
| URL/IP | 45.94.47.167/contact |
| IP: Port | 77.73.129.18:80 |
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.