Sahte Oyun ve AI Şirketleri Tuzağı: Kripto Varlıklarınızı Çalan Yeni Saldırı Dalgası!
Kripto para sahipleri, son derece organize ve karmaşık yeni bir sosyal mühendislik kampanyasının hedefinde. Güvenlik şirketi Darktrace tarafından ortaya çıkarılan yeni bir rapora göre, siber suçlular, kendilerini yenilikçi bir yapay zeka (AI), oyun veya Web3 girişimi gibi gösteren sahte şirketler kurarak, kurbanları hem Windows hem de macOS sistemlerinden dijital varlıklarını çalabilen zararlı yazılımlar indirmeye ikna ediyor.
Bu saldırı zinciri, sadece sahte web siteleri oluşturmakla kalmıyor, aynı zamanda sosyal medya hesapları, sahte proje dokümantasyonları ve hatta ele geçirilmiş doğrulanmış X (Twitter) hesaplarını kullanarak kurbanlar üzerinde tam bir meşruiyet ilüzyonu yaratıyor.
Saldırı Yöntemi: Güven Oluştur, Kandır ve Sömür
Bu sofistike saldırı, birden fazla aşamadan oluşan dikkatli bir planla işliyor:
- Sahte Şirketler Kurma: Saldırganlar, Eternal Decay, BeeSync, Buzzu gibi düzinelerce sahte şirket ismiyle ortaya çıkıyor. Bu şirketler için profesyonel görünümlü web siteleri, Medium blogları, GitHub depoları ve Notion üzerinde barındırılan sahte teknik dokümanlar (whitepaper) hazırlıyorlar.
- Sosyal Medyada Varlık Gösterme: Bu sahte şirketler adına açılan X hesaplarından, meşru fotoğrafların dijital olarak değiştirilmiş versiyonlarını paylaşarak, çeşitli konferanslarda sunum yapıyorlarmış gibi bir izlenim yaratıyorlar. Hatta bazen, ele geçirdikleri doğrulanmış (mavi tikli) X hesaplarını kullanarak hedeflerine ulaşıyor ve güvenilirliklerini artırıyorlar.
- Hedefle İlk Temas: Bu sahte şirketlerin temsilcisi gibi davranan saldırganlar, hedeflerine X, Telegram veya Discord üzerinden ulaşıyor. Kurbana, yeni yazılımlarını test etmeleri karşılığında kripto para ile ödeme yapmayı vaat ediyorlar.
- Zararlı Yazılımı İndirtme: Testi kabul eden kurban, sahte şirketin web sitesine yönlendiriliyor. Burada, kendisine verilen özel bir kayıt kodunu girerek, işletim sistemine göre bir Windows Electron uygulaması veya bir Apple disk imajı (DMG) dosyası indirmesi isteniyor.
İşletim Sistemine Göre Farklı Saldırı Zincirleri
Yüklenen dosya, kurbanın işletim sistemine göre farklı şekillerde çalışıyor:
- Windows’ta: Zararlı uygulama açıldığında, kullanıcıya bir Cloudflare doğrulama ekranı gösterilirken, arka planda gizlice sistem profili çıkarılıyor ve bir MSI yükleyicisi indirilip çalıştırılıyor. Bu aşamada, kullanıcının bilgilerini çalan bir “infostealer” türü zararlı yazılımın devreye girdiği düşünülüyor.
- macOS’ta: DMG dosyası açıldığında ise, bilinen bir bilgi hırsızı olan Atomic macOS Stealer (AMOS) devreye giriyor. Bu zararlı yazılım, web tarayıcılarından ve kripto cüzdanlarından verileri ve belgeleri çalarak saldırganların sunucusuna gönderiyor. Ayrıca, kendini sistemde kalıcı kılmak için bir “Launch Agent” kurarak, her kullanıcı oturum açtığında otomatik olarak başlamayı garantiliyor.
“Crazy Evil” Grubuyla Taktiksel Benzerlikler
Darktrace araştırmacıları, bu kampanyanın, kurbanları StealC, AMOS ve Angel Drainer gibi zararlı yazılımları yüklemeye ikna etmesiyle bilinen “Crazy Evil” adlı bir “traffer” (trafik yönlendirme) grubu tarafından düzenlenen kampanyalarla taktiksel benzerlikler paylaştığını belirtiyor. Henüz kesin bir atıf yapılmamış olsa da, kullanılan tekniklerin benzerliği dikkat çekici.
Siber suçluların, kurbanlarını kandırmak için sadece sahte bir e-posta göndermekle kalmayıp, aylar süren bir çabayla bütün bir “sahte şirket” kimliği inşa etmeleri, sosyal mühendislik saldırılarının ne kadar sofistike bir seviyeye ulaştığını gösteriyor. Bu tür karmaşık tuzaklara düşmemek için, özellikle kripto para vaadiyle gelen test veya iş tekliflerine karşı son derece şüpheci olmak hayati önem taşıyor.
Siz hiç bu tür beklenmedik iş veya test teklifleriyle karşılaştınız mı? Bir projenin veya şirketin meşruiyetini kontrol etmek için hangi adımları atıyorsunuz? Düşüncelerinizi yorumlarda bizimle paylaşın!
En yeni siber güvenlik tehditleri ve sosyal mühendislik saldırılarına karşı korunma yöntemleri için techneiro.com‘u takip etmeye devam edin!
