Sofistike bir kripto hırsızlığı yapan kötü amaçlı yazılım Realst, Web3 profesyonellerini hedef alıyor; çünkü bu kampanyanın arkasındaki tehdit aktörleri, meşru görünmek için “Meetio” gibi sahte şirketler oluşturmak için yapay zeka tarafından oluşturulan içeriği kullandı.
Siber suçlular, kurbanları görüntülü görüşmelere katılmaları için kandırarak, onları ele geçirilen bir web sitesinden kötü amaçlı bir toplantı uygulaması indirmeye ikna edebilir.
Realst, kurulduktan sonra kripto para cüzdanı kimlik bilgileri ve özel anahtarlar dahil olmak üzere hassas bilgileri çalar. Yaklaşık dört aydır aktif olan ve devam eden bu kampanya, Web3 alanındaki siber tehditlerin artan karmaşıklığının altını çiziyor.
Meeten, Clusee ve Meetio gibi çeşitli takma adlar altında faaliyet gösteren tehdit aktörü, kurbanları kötü amaçlı yazılım indirmeye ikna etmek için gelişmiş sosyal mühendislik taktikleri kullanıyor.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Güvenilirlik sağlamak için gerçekçi şirket web siteleri ve sosyal medya profilleri oluşturuyorlar ve belirli kişileri hedef alarak, mağdurları aramaları planlamaya çekmek için bilinen kişileri taklit ediyorlar veya mevcut iş ilişkilerinden yararlanıyorlar.
Bir kez devreye girdikten sonra, mağdurları, genellikle meşru iş fırsatları veya Web3 projeleri kisvesi altında bilgi çalan yazılımı indirmeye ikna etmek için konuşmayı manipüle ederler; bu, tehdit aktörünün, kripto para birimi cüzdanları da dahil olmak üzere hassas bilgilere yetkisiz erişim elde etmesine olanak tanır ve potansiyel olarak önemli mali kayıp.
Meşru bir uygulama görünümüne bürünen macOS kötü amaçlı yazılımı, kurbanları kötü amaçlı bir paketi indirmeleri ve çalıştırmaları için kandırmak amacıyla sosyal mühendislikten yararlanıyor.
Kötü amaçlı yazılım yüklendikten sonra tarayıcılar, kripto para cüzdanları ve sistem kimlik bilgileri dahil olmak üzere çeşitli kaynaklardan gelen hassas verilere gizlice erişir.
Daha sonra sıkıştırılır ve uzak bir sunucuya aktarılır. Kötü amaçlı yazılım eş zamanlı olarak sistem ve yapı bilgilerini topluyor ve bunları daha fazla analiz ve gelecekteki potansiyel saldırılar için bir komuta ve kontrol sunucusuna gönderiyor.
Cado Güvenlik Laboratuarları, Meeten kötü amaçlı yazılımının, Brys Software’den çalınan meşru imzaya sahip bir NSIS yükleyicisi olan MeetenApp.exe adlı bir Windows sürümünü keşfetti.
Yükleyici, karartma için derlenmiş Javascript dosyaları içeren bir Electron uygulamasını çıkarır; bu uygulama, HWID, coğrafi IP, ana bilgisayar adı, işletim sistemi, kullanıcılar, çekirdekler, RAM, disk boyutu ve çalışan işlemler dahil olmak üzere sistem bilgilerini toplar ve bunu uzak bir sunucuya gönderir.
UpdateMC, Telegram kimlik bilgileri, banka bilgileri, tarayıcı verileri ve kripto para birimi cüzdan ayrıntıları dahil olmak üzere çeşitli veri depolarını hedef alan hassas kullanıcı verilerini çalmak için tasarlanmış, Rust tabanlı kötü amaçlı bir ikili programdır.
Çalınan veriler bir ZIP dosyasına sıkıştırılır ve belirli bir IP adresine aktarılır. Kalıcılığı sağlamak için kötü amaçlı yazılım, sistem başlatıldığında otomatik olarak çalıştırılacak bir kayıt defteri anahtarı ekler.
Son zamanlardaki siber saldırılar, kullanıcıları meşru Electron uygulamaları gibi görünen kötü amaçlı yazılımları indirmeleri için kandırmak için yapay zekadan yararlanıyor; bu, sosyal mühendislik ve yapay zeka tarafından oluşturulan içerik içeriyor ve kötü amaçlı web sitelerinin tanımlanmasını zorlaştırıyor.
Tehdit aktörleri, web siteleri için ikna edici ve gerçekçi içerik oluşturmak amacıyla yapay zekayı kullanıyor ve bu da saldırıların başarılı olma olasılığını artırıyor.
Bu tehditlere karşı korunmak için kullanıcıların, özellikle Telegram gibi platformlarda istenmeyen mesajlar alırken dikkatli olmaları gerekir; mesajların kaynağını doğrulamak ve şüpheli bağlantılara tıklamaktan kaçınmak, enfeksiyon riskini azaltmak için çok önemli adımlardır.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses