Kripto Para Kullanıcılarını Hedef Alan Sosyal Mühendislik Saldırıları
Son dönemlerde, kripto para kullanıcıları, düzenli olarak artan sosyal mühendislik kampanyaları ile karşı karşıya kalmaktadır. Bu kampanyalar, kullanıcıları kandırmak amacıyla sahte başlangıç şirketleri oluşturarak, onların sistemlerine zararlı yazılımlar indirtmeyi hedeflemektedir. Zararlı yazılımlar, hem Windows hem de macOS işletim sistemlerinde çalışabilmektedir.
Sosyal Medya İle Sahte Yatırım Fırsatları
Araştırmalara göre, dolandırıcılık faaliyetleri genellikle AI, oyun ve Web3 firmalarını taklit eden sahte sosyal medya hesapları üzerinden yürütülmekte. Kullanıcılar, Telegram gibi anlık mesajlaşma uygulamaları aracılığıyla, bir toplantıya katılmaları için davet edilmektedir. Burada, dolandırıcılar, kurbanlarına yatırım fırsatları hakkında bilgi vermek üzere sahte bir video konferans uygulaması indirmelerini istemektedir.
Toplantı yazılımını indiren kullanıcılar, Realst gibi bilgi hırsızlığı yapan zararlı yazılımlarla gizlice enfekte olmaktadır. Bu kampanya, daha önce Cado Security tarafından “Meeten” kod adıyla adlandırılmıştır. Bu süreç, en azından Mart 2024’ten beri devam etmektedir. O zamandan beri, kullanıcılar, sahte web siteleri aracılığıyla bu tür saldırılara maruz kalmaktadır.
Sahte Şirketler ve Zararları
Darktrace’ın araştırmaları, bu kampanyanın hala aktif bir tehdit olduğunu ve daha geniş bir tema yelpazesine yayıldığını ortaya koymaktadır. Kullanıcılar, genellikle daha önce onaylanmış, X hesaplarıyla iletişime geçildiğinde, bu hesaplar üzerinden sahte şirketlerin varlığını kanıtlamak için sosyal mühendislik taktiklerine başvurulmaktadır.
Örneğin, Eternal Decay isimli sahte bir oyun firması, farklı konferanslarda yer aldığı izlenimi vermek amacıyla gerçek görsellerin dijital olarak değiştirilmiş hallerini paylaşmaktadır. Bu tür sahte hesaplar, saldırganların zararlı yazılımları daha hızlı bir şekilde yaymalarını sağlamaktadır.
Öne çıkan diğer sahte şirketler arasında şunlar bulunmaktadır:
- BeeSync
- Buzzu
- Cloudsign
- Dexis
- KlastAI
- Lunelior
- NexLoop
- NexoraCore
- NexVoo
- Pollens AI
- Slax
- Solune
- Swox
- Wasper
- YondaAI
Tehdit Zincirleri ve İşlem Süreçleri
Bu dolandırıcılık zincirleri genellikle, hedef alınan kurbanın sahte hesaplardan bir mesaj almasıyla başlamaktadır. Kurbanlara, yeni yazılımları denemeleri için kripto para ile ödeme önerilmektedir. Eğer kurban bu öneriyi kabul ederse, sahte bir web sitesine yönlendirilmektedir.
Buradan, kullanıcının işletim sistemine uygun bir dosya indirmesi istenmektedir. Windows için, zararlı uygulama açıldığında, kurban bir Cloudflare doğrulama ekranı ile karşılaşmakta ve bu sırada sistem hakkında bilgiler toplanmaktadır. Özellikle, bu aşamada kurban bilgisayarına bilgi hırsızı yazılımlarının yüklenmesi gerçekleştirilmektedir.
MacOS kullanıcıları ise, Atomic macOS Stealer (AMOS) olarak bilinen bir bilgi hırsızlığı yazılımına maruz kalmaktadır. Bu yazılım, belgeleri, tarayıcı verilerini ve kripto cüzdan bilgilerini çalabilmekte ve bu verileri dışarıya aktarabilmekte. Bu süreç, bilgisayarın otomatik olarak giriş yaptığında zararlı yazılımın çalışmasını sağlamak amacıyla bir “Launch Agent” kurulumunu içermektedir.
Gelecekteki Tehditlerin Analizi
Darktrace’ın raporları, saldırganların, bu sahte şirketleri meşru gösterme çabalarının artarak devam ettiğini göstermektedir. Bu tür taktikler, Crazy Evil olarak bilinen bir gruptan esinlenildiği düşünülen taktikler ile benzerlikler göstermektedir. Ancak bu kampanyanın saldırganlarının kimler olduğu açık değildir.
Sonuç olarak, kripto para kullanıcılarının dikkatli olmaları ve yalnızca güvenilir kaynaklardan yazılım indirmeleri büyük önem taşımaktadır. Sosyal mühendislik saldırıları, sürekli evrim geçirmekte ve kullanıcılara zarar vermek için yeni yöntemler geliştirmektedir. Bu tehditlerin bilincinde olmak, bireylerin dijital varlıklarını korumalarına yardımcı olabilir.
