Kaspersky tarafından keşfedilen yeni bir Satacom kampanyasının parçası olarak Chrome, Brave ve Opera tarayıcıları için kötü niyetli olarak hedeflenen bir uzantı, virüslü sistemlerden kripto para birimleri çalmak için kullanılıyor. Nisan-Mayıs aylarında yaklaşık 30 bin kullanıcı bu uzantı tarafından hedef alınma riskiyle karşı karşıya kaldı. Saldırganlar ayrıca, kullanıcılar Coinbase ve Binance dahil olmak üzere hedeflenen kripto para borsalarının web sitelerine göz atarken uzantının tespit edilmemesini sağlamak için bir dizi önlem aldı. Uzantı, tehdit aktörlerinin yukarıda belirtilen web siteleri tarafından bireylere gönderilen işlem bildirimlerini gizleyerek kripto para birimlerini gizlice çalmasına olanak tanır. Kampanya hakkında detaylı bir rapor Securelist internet sitesinde paylaşıldı.
Yeni kampanyanın, 2019’dan bu yana aktif olan ve çoğunlukla üçüncü taraf web sitelerine yerleştirilen kötü amaçlı reklamlar aracılığıyla hizmet veren ünlü kötü amaçlı hedefleme yazılım ailesi Satacom Downloader ile temas halinde olduğu belirtiliyor. Bu amaçla oluşturulan kişiler veya reklamlar, kullanıcıları uydurma belge paylaşım hizmetlerine ve Satacom Downloader içeren bir arşiv belgesini indirmeyi teklif eden diğer kötü niyetli olarak hedeflenmiş sayfalara yönlendirir. Bu son kampanyada, indirilen şey, berbat hedefli tarayıcı uzantısıdır.
Son kampanya, kripto para birimlerini çalan ve etkinliklerini gizleyen bir tarayıcı uzantısı yükler.
Kampanyanın birincil amacı, hedeflenen kripto para birimi değişim web sitelerine web enjeksiyonları gerçekleştirerek kurbanların hesaplarından Bitcoin (BTC) çalmak. Ancak kötü amaçlı yazılımlar, diğer kripto para birimlerini hedef alacak şekilde kolayca değiştirilebilir. Yazılım, Chrome, Brave ve Opera gibi Chromium tabanlı tarayıcılara bir uzantı yükleyerek ve dünya genelinde kripto para birimi yatırımcısı olan kişisel kullanıcıları hedef alarak hedef belirlemeye ve amacına ulaşmaya çalışmaktadır. Kaspersky telemetri verileri, Nisan ve Mayıs aylarında yaklaşık 30.000 kişinin kampanya tarafından hedef alınma riski altında olduğunu ortaya koydu. Son iki ayda bu tehditten en çok etkilenen ülkeler Brezilya, Meksika, Cezayir, Türkiye, Hindistan, Vietnam ve Endonezya oldu.
Saldırıya uğrayan kullanıcı sayısına göre önde gelen ülkeler, Nisan-Mayıs 2023
Kötü amaçlı uzantı, kullanıcı hedeflenen kripto para birimi web sitelerine göz atarken tarayıcı manipülasyonları gerçekleştirir. Kampanya Coinbase, Bybit, Kucoin, Huobi ve Binance kullanıcılarını hedefliyor. Uzantı, kripto para birimlerini çalmanın yanı sıra, birincil etkinliğini gizlemek için ek eylemler gerçekleştirir. Örneğin, işlemlerin e-posta onaylarını gizler ve kripto para birimi web sitelerindeki mevcut e-posta ileti dizilerini değiştirerek gerçek gibi görünen sahte ileti dizileri oluşturur.
PowerShell betiği gözlemlendi
Bu kampanyada, tehdit aktörlerinin teslimat için Satacom indiricisini kullandıkları için resmi uzantı mağazalarına gizlice girmenin yollarını bulmaları gerekmiyor. İlk bulaşma, kullanıcının indirmek istediği yazılımı (genellikle kırılmış sürümler) ücretsiz olarak indirmesine izin veren yazılım portallarını taklit eden bir web sitesinden indirilen bir ZIP arşiv dosyasıyla başlar. Satacom genellikle çeşitli ikili belgeleri kişinin makinesine indirir. Son kampanyada Kaspersky araştırmacıları, aralarında boşa harcanan tarayıcı uzantısının kurulumunu gerçekleştiren bir PowerShell komut dosyası gözlemlediler.
Daha sonra bir dizi kötü amaçlı eylem, kullanıcı internette gezinirken uzantının gizlice çalışmasını sağlar. Sonuç olarak, tehdit aktörleri web enjeksiyonlarını kullanarak Bitcoin’i kurbanın cüzdanından kendi cüzdanlarına aktarabilir.
Kaspersky Korkunç Hedefli Yazılım Analisti Chaim Zigel, diyor: “Siber hatalar, komut dosyası değişiklikleri yoluyla kontrol etme yeteneği ekleyerek uzantıyı geliştirdi. Bu, diğer kripto para birimlerini de kolayca hedeflemeye başlayabilecekleri anlamına gelir. Ayrıca uzantı tarayıcı tabanlı olduğu için Windows, Linux ve macOS platformlarını hedefleyebilir. Önlem olarak, kullanıcılar çevrimiçi hesaplarına erişebilir. Şüpheli etkinlikleri düzenli olarak kontrol etmelerini ve kendilerini bu tür tehditlere karşı korumak için sağlam güvenlik çözümleri kullanmalarını öneriyoruz.”
Kötü amaçlı yazılımın ayrıntılı bir teknik analizi Securelist’te bulunabilir.
Kaspersky uzmanları, kripto para birimlerini çalmadan güvenle alıp satabilmeniz için şunları öneriyor:
- Kimlik avı dolandırıcılığına dikkat edin. Dolandırıcılar, insanları oturum açma bilgilerini veya özel anahtarlarını ifşa etmeleri için kandırmak için genellikle kimlik avı e-postaları veya sahte web siteleri kullanır. Her zaman web sitesi adresini iki kez kontrol edin ve herhangi bir şüpheli kişiyi açmayın.
- Özel anahtarlarınızı paylaşmayın. Özel anahtarlarınız kripto para cüzdanınızın kilidini açar. Onları kapalı tutun ve asla kimseye vermeyin.
- Kendini geliştir. Kripto para biriminizi güvende tutmak için en son siber tehditler ve en iyi uygulamalar hakkında bilgi sahibi olun. Kendini savunma hakkında ne kadar çok şey öğrenirseniz, siber saldırıları önlemek için o kadar donanımlı olursunuz.
- Yatırım yapmadan önce araştırmanızı yapın. Rastgele bir kripto para birimine yatırım yapmadan önce, projeyi ve arkasındaki ekibi yeterince araştırın. Projenin yasal olduğundan emin olmak için projenin web sitesini, teknik incelemesini ve sosyal medya kanallarını kontrol edin.
- Güvenilir güvenlik çözümleri kullanın: Güvenilir bir güvenlik çözümü, cihazlarınızı çeşitli tehdit türlerinden koruyacaktır. Kaspersky Premium, bilinen ve bilinmeyen tüm kripto para birimi dolandırıcılıklarının yanı sıra, bilgisayarınızın işlem gücünün kripto para madenciliği için yetkisiz kullanımını engeller.
Kaynak: (BYZHA) Beyaz Haber Ajansı
