kripto para biriminin yaşamımıza girmesiyle beraber hem de saldırılar ve hırsızlıklar da başladı. Meydana getirilen çalışmalarda saldırganların iyi mi harekete geçmiş olduğu de açığa çıkıyor.
Kripto para piyasasında hesapların korunması mevzusu öne çıktı. Bu mevzuda araştırma icra eden Kaspersky uzmanları, gelişmiş kalıcı tehdit (APT) merkezi BlueNoroff’un dünya çapındaki ufak ve orta ölçekli şirketlere yönelik büyük kripto para birimi kayıplarına neden olan saldırılarını ortaya çıkardı.
Kaspersky açıklamasına bakılırsa, SnatchCrypto adlı hareket, kripto para birimlerini, akıllı sözleşmeleri, DeFi, Blockchain ve FinTech endüstrisini ve bunlarla ilgilenen çeşitli şirketleri hedef alıyor.
BlueNoroff’un son olarak hareketinde saldırganlar, hedef şirketlerin çalışanlarının itimatını “sözleşme” yada başka bir iş dosyası kisvesi altında nezaret işlevlerine haiz tam özellikli bir Windows arka kapısı göndererek istismar ediyor.
Saldırganlar, kurbanların kripto cüzdanını boşaltmak için karmaşık altyapı, açıklardan yararlanma ve fena amaçlı yazılım implantlarından oluşan kapsamlı ve tehlikeli kaynaklar geliştirdi.
BlueNoroff, Lazarus grubunun bir parçası olarak çeşitli yapılarını ve gelişmiş hücum teknolojilerini kullanıyor. Lazarus APT grubu, bankalara ve SWIFT’e bağlı sunuculara yönelik saldırılarla tanınıyor ve kripto para birimi yazılımının geliştirilmesi için düzmece şirketlerin kurulmasıyla uğraşıyor.
Aldatılan müşterilere sonrasında yasal görünen uygulamalar yüklendi ve bir süre sonrasında arka kapıdan güncellemeler iletildi. Arkasından kripto para birimi girişimlerine yönelik saldırılar başladı. Kripto para birimi işletmelerinin bir çok ufak yada orta ölçekli girişimler olduğundan iç güvenlik sistemlerine oldukça fazla yatırım yapamıyor. Saldırgan bu zayıf iradesi değerlendiriyor ve detaylı toplumsal mühendislik şemaları kullanarak bundan yararlanıyor.
BlueNoroff, kurbanın itimatını kazanmak için mevcut bir risk sermayesi şirketi şeklinde davranıyor. Kaspersky araştırmacıları, SnatchCrypto kampanyası esnasında marka adı ve çalışan adlarının kötüye kullanıldığı 15’ten fazla girişimi ortaya çıkardı.
APT grubu, sistemleri enfekte etmek adına çeşitli yöntemlere haiz ve duruma bakılırsa çeşitli enfeksiyon zincirlerini bir araya getiriyor. Saldırganlar, silaha dönüştürülmüş Word belgelerinin yanı sıra sıkıştırılmış Windows kısayol dosyaları biçiminde gizlenmiş fena amaçlı yazılımları da yayıyor. Kurbanın genel detayları, ondan sonra tam özellikli bir arka kapı oluşturan Powershell aracısına gönderiliyor. Bunu kullanarak BlueNoroff, kurbanı seyretmek için öteki fena amaçlı araçları olan bir keylogger ve ekran görüntüsü alıcısını devreye sokuyor.
Arkasından saldırganlar, haftalarca ve aylarca kurbanları takip ediyor. Finansal hırsızlık için strateji planlarken tuş vuruşlarını topluyor ve kullanıcının günlük işlemlerini izliyor. Kripto cüzdanlarını yönetmek için popüler bir tarayıcı uzantısı kullanan belirgin bir hedef bulduktan sonrasında (mesela Metamask uzantısı şeklinde), uzantının ana bileşenini düzmece bir sürümle değiştiriyor.
Araştırmacılara bakılırsa saldırganlar, büyük transferler ortaya çıkardıklarında bir bildirim alıyorlar. Güvenliği ihlal edilmiş kullanıcı başka bir hesaba bir miktar para aktarmaya çalıştığında işlem sürecini durdurup kendi aracılarını enjekte ediyorlar.
Başlatılan ödemeyi tamamlamak için kullanıcı “onayla” düğmesini tıkladığında, siber suçlular alıcının adresini değiştiriyor ve işlem miktarını en üst düzeye çıkarıyor. Böylece hesabı tek bir hamlede boşaltıyor.
Açıklamada görüşlerine yer verilen Kaspersky Küresel Araştırma ve Çözümleme Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Seongsu Park, saldırganların devamlı olarak başkalarını kandırmak ve istismar etmek için yeni yollar keşfederken, ufak işletmelerin çalışanlarını temel siber güvenlik uygulamaları mevzusunda eğitmesi icap ettiğini belirterek, “Firmanın kripto cüzdanlarıyla emek vermesi bilhassa önemlidir. Kripto para birimi hizmetlerini ve uzantılarını kullanmanın yanlış bir tarafı yoktur sadece bunun, hem APT hem de siber suçlular için çekici bir hedef bulunduğunu ihmal etmeyin. Bu yüzden, bu sektörün iyi korunması gerekiyor.” ifadelerini kullandı.
Kaynak: webhane.com