Firefox’ta Kripto Para Soygunu: “GreedyBear” Kampanyası 1 Milyon Dolar Çaldı!
Kripto para sahiplerini hedef alan siber suçlular, bu kez de Mozilla Firefox tarayıcısının eklenti mağazasını bir silah olarak kullanarak büyük bir vurgun yaptı. Güvenlik firması Koi Security tarafından ortaya çıkarılan ve “GreedyBear” olarak adlandırılan yeni bir kampanya, popüler kripto para cüzdanlarını taklit eden 150’den fazla kötü amaçlı Firefox eklentisi aracılığıyla, kurbanlardan 1 milyon doların üzerinde dijital varlık çaldı.
Bu operasyonu özellikle tehlikeli kılan ise, saldırganların Mozilla’nın güvenlik incelemelerini atlatmak için kullandığı “Eklenti Oyma” (Extension Hollowing) adını verdikleri sinsi bir teknik.
Saldırı Yöntemi: “Eklenti Oyma” (Extension Hollowing) Tekniği
Saldırganlar, kurbanların güvenini kazanmak ve güvenlik kontrollerini aşmak için çok adımlı bir strateji izliyor:
- Masum Görün, Onay Al: Saldırganlar, ilk olarak Firefox eklenti mağazasında bir yayıncı hesabı oluşturuyor ve hiçbir kötü amaçlı kod içermeyen, hatta bazen hiçbir işlevi olmayan, masum görünümlü eklentiler yüklüyorlar. Bu, Mozilla’nın ilk güvenlik incelemelerinden sorunsuzca geçmelerini sağlıyor.
- Sahte Yorumlarla Güven Kazan: Eklentileri yayınlandıktan sonra, güvenilirlik ilüzyonu yaratmak için sahte pozitif yorumlar ve yüksek puanlar gönderiyorlar.
- Gizlice Güncelle ve Silahlandır: Eklenti yeterince güven kazandıktan ve kullanıcı tabanı oluşturduktan sonra, saldırganlar bir güncelleme yayınlayarak eklentinin içini gizlice kötü amaçlı yeteneklerle dolduruyorlar.
Bu sahte eklentiler; MetaMask, TronLink, Exodus ve Rabby Wallet gibi popüler cüzdanları taklit ederek, kullanıcıların cüzdan kimlik bilgilerini girmesini sağlıyor ve bu bilgileri anında saldırganın kontrolündeki sunucuya gönderiyor.
Çok Yönlü Bir Operasyon
Koi Security’nin araştırması, GreedyBear’in sadece tarayıcı eklentileriyle sınırlı kalmayan, çok yönlü bir siber suç operasyonu olduğunu ortaya çıkardı. Saldırganların kullandığı tüm alan adlarının tek bir IP adresine (185.208.156[.]66) işaret etmesi, bu farklı saldırıların arkasında aynı grubun olduğunu kanıtladı.
Operasyonun diğer kolları şunlar:
- Korsan Yazılım Siteleri: Çeşitli Rus sitelerinde, korsan ve crack’li yazılımlar arasına gizlenmiş, bilgi hırsızları ve hatta fidye yazılımları dağıtan zararlı yürütülebilir dosyalar.
- Sahte Web Siteleri: “Cüzdan onarım aracı” gibi sahte kripto para hizmetleri sunan dolandırıcı web siteleri.
Techneiro Analizi: Yapay Zekanın Karanlık Yüzü ve Genişleyen Tehdit
Bu kampanya, modern, ölçeklenebilir bir siber suç modelini gözler önüne seriyor. Saldırganlar artık tek bir zararlı yazılım üretmek yerine, çok yönlü bir “zararlı yazılım dağıtım boru hattı” işletiyorlar. Araştırmadaki en endişe verici bulgulardan biri, bu zararlı yazılım eklentilerinin yapay zeka (AI) destekli araçlar kullanılarak oluşturulmuş olabileceğine dair işaretler. AI kullanımı, saldırganların yüzlerce farklı varyantı hızla ve ölçekli bir şekilde üretmesine, bu da tespit edilmelerini zorlaştırmasına olanak tanıyor. Ayrıca, saldırının Google Chrome’a da sıçradığına dair kanıtların bulunması, bu tehdidin platformdan bağımsız olduğu ve yayılmaya devam edeceği anlamına geliyor.
Bu olay, bir tarayıcı eklentisi yüklerken ne kadar dikkatli olmamız gerektiğini ve en güvenilir görünen mağazalarda bile tehlikelerin gizlenebileceğini gösteriyor.
Siz bir tarayıcı eklentisi yüklemeden önce ne gibi güvenlik kontrolleri yapıyorsunuz? Geliştiricinin kimliğine veya yorumlara ne kadar güveniyorsunuz? Düşüncelerinizi yorumlarda bizimle paylaşın!
Bu Konuyla İlgili Diğer“Nedir?”Yazılarımız:
Dijital dünyada güvende kalmanızı sağlayacak en son siber güvenlik tehditleri, korunma yöntemleri ve gizlilik ipuçları için techneiro.com‘u takip etmeye devam edin!
