Cybercriminals, kötü amaçlı yazılım dağıtmak ve kripto para birimi cüzdan kimlik bilgilerini çıkarmak için Facebook’un reklam platformundan yararlanan sofistike bir kampanya başlattı ve kullanıcıları aldatıcı PI ağ temalı reklamlar aracılığıyla dünya çapında hedefliyor.
24 Haziran 2025’te başlayan kötü niyetli operasyon, Pi2day kutlamalarına denk geliyor ve zaten birden fazla kıtaya erişimini en üst düzeye çıkarmak için 140’dan fazla MS varyasyonu kullandı.
Saldırı kampanyası, çok aşamalı kötü amaçlı yazılım yükleri sunmak için meşru sosyal medya reklam mekanizmalarını silahlandıran tehdit aktörleri tarafından koordineli bir çaba gösteriyor.
.png
)
Bu kötü niyetli reklamlar, resmi PI ağ promosyonları olarak maskelenir, sahte madencilik uygulamaları ve kullanıcılara önemli kripto para birimi ödülleri vaat eden hileli cüzdan erişim portalları sunar.
Kampanyanın küresel kapsamı, ABD, Avrupa, Avustralya, Çin, Vietnam, Hindistan ve Filipinler’i kapsıyor ve uluslararası hırslarla iyi kaynaklanan bir operasyonu gösteriyor.
Tehdit oyuncusu kurbanları tehlikeye atmak için iki temel saldırı vektörü kullanıyor. Birincisi, meşru PI cüzdan arayüzlerini titizlikle taklit eden, kullanıcıların 628 PI jetonu talep etme veya özel AirDrop etkinliklerine katılma iddiası altında 24 kelimelik kurtarma ifadelerine girmelerini isteyen kimlik avı sayfalarını içerir.
.webp)
Girildikten sonra, bu kimlik bilgileri saldırganlara kurbanların kripto para birimi cüzdanları üzerinde kontrolü tamamlayarak derhal fon transferlerini sağlar.
Bitdefender araştırmacıları, ikinci saldırı vektörünü PI Network Madencilik Yazılımı olarak gizlenmiş kötü amaçlı yazılımlar olarak tanımladılar.
Bu aldatıcı yükleyiciler, PC uygulamalarını indirmek ve yürütmek için kullanıcıların 31.4 pi jeton bonuslarını vaat ediyor.
Bununla birlikte, yazılım paketleri, Mayıs 2025’te Bitdefender’ın güvenlik ekibi tarafından daha önce analiz edilen çok aşamalı kötü amaçlı yazılımları temsil eden generic.msil.wmitask ve jenerik.js.wmitask varyantları olarak tanımlanan kötü niyetli yükler içerir.
Çok aşamalı kötü amaçlı yazılım enfeksiyon mekanizması
Kötü amaçlı yazılım enfeksiyon süreci, tehlikeye atılan sistemlerde kalıcılığı korurken tespitten kaçınmak için tasarlanmış sofistike mühendislik göstermektedir.
İlk yürütme sonrasında, kötü niyetli yük, geleneksel antivirüs çözümlerini ve sanal alan ortamlarını atlayan gizleme teknikleri aracılığıyla bir dayanak oluşturur.
Kötü amaçlı yazılım mimarisi, her bir bileşenin genel saldırı zincirinde belirli işlevlere hizmet ettiği birden fazla aşama içerir.
Birincil yük, enfekte olmuş sistemlerden kaydedilmiş şifreleri, kimlik doğrulama jetonlarını ve kripto para birimi cüzdan anahtarlarını sistematik olarak alınan kimlik bilgisi hasatına odaklanır.
Eşzamanlı olarak, kötü amaçlı yazılım, yeni girilen şifreler, kurtarma ifadeleri ve hassas finansal bilgiler de dahil olmak üzere gerçek zamanlı kullanıcı girişini yakalamak için anahtar blog özelliklerini dağıtır.
Kötü amaçlı yazılımların kalıcılık mekanizmaları, sistem yeniden başlatıldıktan sonra bile sürekli çalıştırmayı sağlarken, iletişim modülleri, çalıntı verileri dışarı atmak ve ek kötü amaçlı bileşenler indirmek için komut ve kontrol altyapısı ile bağlantılar kurar.
Kampanyanın başarısı, kullanıcıların doğrulanmış sosyal medya platformlarına olan güvenini ve bunların kripto para birimi güvenlik uygulamaları hakkındaki sınırlı anlayışından yararlanmaktan kaynaklanmaktadır.
Facebook’un reklam meşruiyetinden ve PI Network’ün artan popülaritesinden yararlanarak, tehdit aktörleri, güvenlik karşı önlemlerine gelişmeye ve uyum sağlamaya devam eden etkili bir dağıtım mekanizması yarattılar.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi