İnternetten herhangi bir şey indirmek bugünlerde bir kumar: Meşru bir firmadan zararsız bir uygulama indirdiğinizi düşünebilirsiniz, ancak yapay zekanın akıllıca kötüye kullanılması ve bazı sosyal mühendislikler sayesinde, sonunda bilgi ve kripto para hırsızlığı yapan kötü amaçlı yazılımlarla karşılaşabilirsiniz.
Konuya ilişkin örnek: Cado Güvenlik Laboratuvarları araştırmacıları yakın zamanda video konferans uygulaması sunan, ancak Realst bilgi hırsızlığını sunan şirketlerin kimliğine bürünen web sitelerinin kurulduğunu bildirdi.
Dolandırıcılığın hazırlanması ve yürütülmesi
Dolandırıcılar, öncelikle meşru şirketlere ait web sitelerinin yanılsamasını yaratmak için yapay zeka araçlarının yardımıyla web siteleri oluşturuyor. İyi bir önlem olarak Twitter ve Medium’da da hesaplar açtılar.
Dolandırıcılar sahneyi hazırladıktan sonra hedeflere ulaşır.
Bildirilen bir olayda, bir tanıdık Telegram aracılığıyla bir kullanıcıyla iletişime geçti ya da öyle olduğunu düşünüyorlardı. Cado araştırmacıları, Telegram hesabının hedefin kişisini taklit etmek için oluşturulduğunu ve dolandırıcının hedefin şirketinden hedefe bir yatırım sunumu bile gönderdiğini söyledi.
Diğer kullanıcılar Web3 çalışmasıyla ilgili aramalarda olduklarını ve yazılımı indirme talimatı aldıklarını bildirdi.
İndirilmek üzere sunulan web siteleri ve uygulamalar için alan adları, Meeten kelimesinin farklı varyasyonlarını kullanır.
Meeten web sitesinin indirme sayfası (Kaynak: Cado Security Lab)
“Şirket düzenli olarak isim değiştiriyor ve Clusee adını da aldı.[.]com, Cuesee, Meeten[.]tanışalım[.]biz, Meetone[.]gg ve şu anda Meetio adını kullanıyor” diye paylaştı araştırmacılar.
Meeten web siteleri, bilgi hırsızlarını barındırmanın yanı sıra, sahte video uygulaması yüklenmeden önce bile kripto para birimini çalmak için kod da içerir.
“Kripto para birimleri birçok biçimde olabilen cüzdanlarda saklanıyor. Bir tarafta, kripto para birimi anahtarlarını bilgisayardan ayrı olarak saklayan bağımsız cihazlar olan donanım cüzdanlarınız var. Cado Security Çözüm Mühendisi Paul Scott, Help Net Security’ye verdiği demeçte, başka bir cüzdan türü, kötü amaçlı bir web sitesinde JavaScript aracılığıyla saldırıya uğrayabilecek bir web tarayıcı uzantısıdır.
“Bir kullanıcının tarayıcısında cüzdanının kilidi açılırsa ve kötü amaçlı bir web sitesini ziyaret ederse, sitedeki JavaScript, kilidi açılmış cüzdanların olup olmadığını otomatik olarak kontrol eder ve kripto paraları saldırganın kontrol ettiği bir cüzdana aktarmaya çalışır.”
Bu özel kampanya Web3 teknolojileri (örneğin blockchain) ile çalışan kişileri hedef alıyor gibi görünüyor ve yaklaşık dört aydır aktif durumda.
Kötü amaçlı yazılım
Sahte uygulamalar aslında ilk olarak 2023 yılında güvenlik araştırmacısı iamdeadlyz tarafından keşfedilen Realst bilgi hırsızlığının macOS ve Windows versiyonları.
Kötü amaçlı yazılım, Telegram kimlik bilgilerini çalmayı amaçlıyor; anahtarlık kimlik bilgileri; Chrome, Opera, Brave, Edge, Arc, CocCoc ve Vivaldi tarayıcılarında saklanan tarayıcı çerezleri ve kimlik bilgileri; Ledger, Trezor, Phantom ve Binance cüzdanları; ve banka kartı ayrıntıları.
Realst’in ticari amaçlı bir kötü amaçlı yazılım mı yoksa belirli bir tehdit aktörü tarafından özel olarak mı oluşturulduğunu söylemek şu anda mümkün değil.
Cado Security Tehdit Araştırma Lideri Tara Gould, Help Net Security’ye şunları söyledi: “Araştırmamız sırasında pazaryerlerinde satıldığına dair herhangi bir kanıt bulamadık.”
“Çalıcıların ve özellikle de kripto hırsızlarının çoğunluğunun emtia olma eğiliminde olması nedeniyle, bu gelenekten daha muhtemel olabilir ancak şu anda kesin olarak söyleyemeyiz.”
Kampanyaya ilişkin kesin bir atıf da şu anda mümkün değil. Gould, “Sahte şirketle birlikte macOS ve kripto para biriminin hedef alınması, Kuzey Koreli bilgisayar korsanlarının taktikleri, teknikleri ve prosedürleri (TTP’ler) ile uyumludur, ancak bu tek başına bir karar vermek için yeterli değildir” dedi. “Kampanyanın APT grubu yerine siber suçlular tarafından yürütülme ihtimali de var.”
Kötü amaçlı yazılıma hizmet veren web siteleri o zamandan beri kapatıldı, ancak araştırmacılar kullanıcılara özellikle Telegram aracılığıyla iş fırsatları konusunda kendilerine yaklaşılırken dikkatli olmalarını tavsiye ediyor: “Kişi mevcut bir kişi gibi görünse bile hesabı doğrulamak önemlidir ve Bağlantıları açarken her zaman dikkatli olun.