Kripto Cüzdan Dolandırıcılığı: GreedyBear Operasyonu
Son dönemde, siber güvenlik dünyasında GreedyBear adı verilen bir kampanya dikkat çekiyor. Bu kampanyanın arkasında, Firefox pazar yerinde 150’den fazla kötü amaçlı uzantı kullanarak, popüler kripto para cüzdanlarını taklit eden bir grup hacker bulunuyor. Bu dolandırıcılık girişimi, 1 milyon dolardan fazla dijital varlığın çalınmasıyla sonuçlandı.
Koi Security araştırmacısı Tuval Admoni, yayınlanan kötü niyetli uzantıların MetaMask, TronLink, Exodus ve Rabby Wallet gibi popüler cüzdanları taklit ettiğini belirtti. Öne çıkan özelliklerden biri, siber suçluların Extension Hollowing adı verilen bir teknik kullanarak, Mozilla’nın koyduğu korumaları aşarak kullanıcı güvenini kötüye kullanmalarıdır. Bu tür bir dolandırıcılığın ilk kez geçtiğimiz hafta güvenlik araştırmacısı Lukasz Olejnik tarafından belgelenmiş olması da dikkat çekicidir.
Admoni’ye göre saldırganlar, ilk incelemeleri geçmek için kötü niyetli uzantıları gizlice yüklemek yerine, önce meşru görünen uzantı portföyleri kuruyor, ardından kimsenin gözetiminde bu uzantıları tehlikeli hale getiriyorlar. Bunu başarmak için, saldırganlar önce pazar yerinde bir yayıncı hesabı oluşturup, işlevsiz uzantılar yükleyerek ilk incelemeleri geçiyorlar. Ardından, sahte olumlu yorumlar ekleyerek bir güvenilirlik yanılsaması yaratıyorlar ve uzantılarının içini kötü niyetli özelliklerle değiştiriyorlar.
Kötü Amaçlı Uzantıların Zararları
Bu sahte uzantılar, farkında olmadan cüzdan kimlik bilgilerini giren kullanıcıların verilerini toplamak için tasarlanmıştır. Toplanan bu veriler, saldırgan kontrolündeki sunuculara aktarılır. Ayrıca, saldırganlar, kurbanların IP adreslerini de toplayarak izleme amaçları doğrultusunda kullanabilirler.
GreedyBear saldırılarının, daha önce gerçekleştirilen Foxy Wallet isimli bir kampanyanın genişletilmiş şekli olduğu değerlendirilmekte. Bu önceki kampanya kapsamında, Mozilla Firefox için en az 40 kötü niyetli uzantı yayımlandı. Mevcut uzantı sayısındaki artış, operasyonun ölçeğinin büyüdüğünü göstermektedir.
Aynı zamanda, kripto cüzdan dolandırıcılığı, çeşitli Rus siteleri aracılığıyla kötü niyetli yazılımların dağıtılmasıyla da desteklenmektedir. Bu siteler, kırılmış ve korsan yazılımlar sunarak bilgi çalıcı ve hatta fidye yazılımı dağıtıyor.
Kandırıcı Web Siteleri ve Yalanlar
GreedyBear aktörleri, dolandırıcılıkla kullanıcıların cüzdan bilgilerini kaptırmalarını sağlamak için kripto ürünleri ve hizmetleri sunan sahte web siteleri kurmaya da yönelmişlerdir. Örneğin, cüzdan onarım araçları gibi ürünler taklit edilerek, kullanıcıların cüzdan kimlik bilgilerini ya da ödeme bilgilerini paylaşmalarını sağlamaya çalışıyorlar. Koi Security’nin analizi, bu üç saldırı biçiminin tek bir siber suçlu ile bağlantılı olduğunu göstermektedir. Kullanılan alan adlarının hepsi, veri toplama ve yönetimi için tek bir komut ve kontrol sunucusuna işaret etmektedir: 185.208.156[.]66.
Bu uzantılara yönelik saldırıların, başka tarayıcı pazar yerlerini hedef almaya başladığına dair de kanıtlar bulunmaktadır. Örneğin, aynı C2 sunucusunu kullanan ve aynı mantığı izleyen bir Google Chrome uzantısı olan Filecoin Wallet keşfedilmiştir. Durumu daha da kötüleştiren, analiz edilen bulguların bazıları yapay zeka (AI) destekli araçlar ile yapılmış gibi görünmektedir. Bu, siber suçluların AI sistemlerini kötüye kullanarak daha geniş ve hızlı bir saldırı gerçekleştirebileceklerini göstermektedir.
Admoni, “Bu çeşitlilik, grubun tek bir araç seti kullanmadığını, aksine geniş kapsamlı bir kötü yazılım dağıtım hattı etkisi oluşturduğunu gösteriyor,” diyor. “Kampanya, ölçeği ve kapsamı ile evrim geçirerek, yüzlerce kötü yazılım örneği ve dolandırıcılık altyapısına dayalı çok platformlu kimlik ve varlık çalma kampanyasına dönüşmüştür.”
Ethereum Drainerlar ve Yatırım Tuzağı
Son günlerde, SentinelOne tarafından tespit edilen bir başka dolandırıcılık da dikkat çekiyor. Ethereum drainer şeması, kullanıcı cüzdanlarını boşaltmak amacıyla trading bot olarak gizlenmiş kötü niyetli bir akıllı sözleşme dağıtıyor. 2024’ün başından beri aktif olan bu dolandırıcılığın, saldırganlara yaklaşık 900,000 dolarlık bir kazanç sağlamış olduğu tahmin ediliyor.
Bu dolandırıcılık, YouTube videoları aracılığıyla tanıtılmakta. Videolar, kullanıcıların kripto ticaret botunun ne olduğunu ve Remix Solidity Compiler platformunda bir akıllı sözleşmeyi nasıl kullanılacağını anlatıyor. Videoların altındaki açıklamalar, kullanıcıları silahlandırılmış akıllı sözleşme kodunun bulunduğu harici bir siteye yönlendiriyor.
Bu tür videoların AI tarafından oluşturulduğu ve diğer kaynaklardan kripto haberleri paylaşan yaşlı hesaplardan yayımlandığı, dolandırıcıların yorum alanlarını düzenleyerek olumsuz geri bildirimleri kaldırdığını göstermektedir. Saldırı, kurban akıllı sözleşmeyi çalıştırdıktan sonra başlıyor. Kurbanların ETH göndermeleri isteniyor ve bu esnada tehlikeli bir cüzdana yönlendirme yapılmaktadır.
Yapay zeka destekli içerikler ve satılık yaşlı YouTube hesaplarının bir araya gelmesi, gerekli olan herhangi bir kaynağa sahip olan kişilerin, sahte bir itibar yaratmak üzere bu hesapları silahlandırmasına olanak tanımaktadır.
