Siber Suçluların Ledger Uygulamalarını Taklit Etmeleri
Son günlerde siber suç dünyasında dikkat çeken bir gelişme, sahte Ledger uygulamaları aracılığıyla macOS kullanıcılarının hedef alınmasıdır. Bu kötü amaçlı yazılımlar, kullanıcıların dijital varlıklarına erişim sağlayan seed phrase (kurtarma ifadesi) bilgilerini çalmayı amaçlamaktadır. Ledger, kripto paraların güvenli bir şekilde depolanması için tasarlanmış hardware wallet (donanım cüzdanı) sistemidir ve çevrimdışı (cold storage) çalışarak kullanıcıların varlıklarını korumalarına yardımcı olur.
Seed Phrase Nedir ve Neden Önemlidir?
Bir seed phrase, 12 veya 24 rastgele kelimeden oluşan bir terim setidir. Bu ifade, cüzdan kaybolduğunda veya erişim parolası unutulduğunda dijital varlıkların kurtarılmasını sağlar. Dolayısıyla, bu bilginin özel ve gizli tutulması gerekmektedir. Kötü niyetli kişilerin bu ifade üzerine odaklanması, kullanıcıların varlıklarını kaybetmesine neden olabilecek ciddi bir güvenlik açığıdır.
Moonlock Lab’ın raporuna göre, bu saldırılar ilk olarak geçen yılın Ağustos ayında kaydedilmeye başlanmıştır. İlk aşamalarda, sahte uygulamalar yalnızca parolaları, notları ve cüzdan bilgilerini çalarken, son güncellemelerle birlikte artık kullanıcıların seed phrase’lerini çalmaya odaklanan bir strateji geliştirilmiştir. Bu durum, mağdurların cüzdanlarının tamamen boşaltılmasına yol açabilir.
Ledger Kampanyalarının Evrimi
Mart ayı itibarıyla, Moonlock Lab, ‘Rodrigo’ takma adıyla bilinen bir tehdit aktörünün yeni bir macOS çalıntı yazılımı olan ‘Odyssey’i kullandığını tespit etti. Bu yeni kötü amaçlı yazılım, saldırıyı daha etkili hale getirmek için mağdurların cihazlarındaki gerçek Ledger Live uygulamasının yerini alıyordu.
Odyssey, mağduru sahte bir Ledger uygulamasında 24 kelimeden oluşan seed phrase’ini girmeye teşvik eden bir phishing (oltalama) sayfası ile kandırıyordu. Bu sayfa, mağdura sahte bir "kritik hata" mesajı göstererek panik yaratıyor ve böylece kullanıcıyı bilgilerinin verilmesine ikna ediyordu.
Odyssey, mağdurların macOS kullanıcı adlarını çalmak ve oltalama alanları aracılığıyla sağlanan verileri Rodrigo’nun komuta ve kontrol (C2) sunucusuna sızdırmak için tasarlanmıştı. Bu yeni kötü amaçlı yazılım, yeraltı forumlarında hızla dikkat çekti ve taklit saldırılara yol açtı.
AMOS Kampanyası ve Yeni Tehditler
Son zamanlarda, AMOS adında yeni bir kampanya keşfedildi. Bu kampanya, ‘JandiInstaller.dmg’ adında bir DMG dosyası kullanarak Gatekeeper’ı aşmayı başardı ve sahte bir Ledger Live uygulaması kurarak Rodrigo tarzında oltalama ekranları gösterdi. AMOS’un kurbanları, sahte uygulama aracılığıyla 24 kelimelik seed phrase’lerini girmeye yönlendiriliyor ve bu sırada "Uygulama bozuldu" mesajı ile aldatılıyordu.
Aynı dönemde, ‘@mentalpositive’ kullanıcı adıyla başka bir tehdit aktörü, karanlık web forumlarında bir “anti-Ledger” modülü tanıtmaya başladı. Ancak Moonlock, bu modülün çalışır versiyonlarını bulamadı.
Bu ay araştırmacılar, Jamf adlı bir şirketin yaptığı tespitlerde, bir DMG dosyasında PyInstaller ile paketlenmiş bir ikili dosyanın yer aldığını, bunun da sahte Ledger Live arayüzünde bir oltalama sayfasını iframe aracılığıyla yükleyerek kullanıcıların seed phrase’lerini çalmaya çalıştığını belirtti.
Ledger Cüzdanlarının Güvenliğini Sağlama Yöntemleri
Ledger cüzdanlarınızı güvende tutmak için, Ledger Live uygulamasını yalnızca resmi web sitesinden indirmeniz gerektiğini unutmayın. Seed phrase’inizi yalnızca fiziksel cüzdanınıza erişimi kaybettiğinizde kullanmalısınız. Cüzdanınızı yenilemek veya yeni bir cihaz kurarken bu ifadeyi kullanmanız gerekiyor. Bu durumda bile, ifade yalnızca fiziksel Ledger cihazınıza girilir, asla uygulama veya herhangi bir web sitesine girilmemelidir.
Siber suçluların hedef aldığı bu tür saldırılar artarken, kullanıcıların bilgi güvenliği konusunda daha dikkatli olmaları önemlidir. Uygulamaların resmi kaynaklardan indirilmesi, phishing saldırılarına karşı tetikte olunması ve seed phrase’in dikkatlice saklanması, dijital varlıkların güvenliği için temel adımlardır. Bu önlemler, kullanıcıların mağduriyet yaşamalarını önlemenin yanı sıra, dijital varlıklarının güvence altında olmasını da sağlacaktır.
