Araştırmacılar, kripto para kullanıcıları ve meraklılarının, değerli jetonlarını çalan sahte cüzdan uygulamalarıyla kötü niyetli aktörler tarafından hedef alındığını tespit etti.
Confiant’tan siber güvenlik araştırmacıları, dünyanın en popüler kripto para cüzdanlarından bazılarının klonlar tarafından taklit edildiğini keşfetti. (yeni sekmede açılır) kötü amaçlı yazılım taşıyan
Coinbase, MetaMask, TokenPocket ve imToken ürünleri etkilenenler arasında yer alıyor, tehdit aktörlerinin oluşturduğu uygulamalar meşru olanlarla görünüşte aynı görünüyor, ancak önemli bir farkla – insanların güvenlik ifadelerini çalabilen bir arka kapı taşıyorlar. Güvenlik ifadesi veya gizli anahtar, mevcut bir cüzdanı kurtarmak veya yeni uygulamaya yüklemek için kullanılan bir kelime dizisidir.
On milyonlarca potansiyel hedef
İnsanlar şifrelerini unuttuklarında, uygulamayı yeni bir uç noktaya yüklediklerinde veya başka bir şekilde farklı bir cihaza cüzdan yüklemeleri gerektiğinde kullanırlar.
Kötü niyetli olduklarından bu uygulamalar Play Store veya App Store gibi resmi uygulama havuzlarında bulunamaz. Bunun yerine, tehdit aktörleri, siyah SEO teknikleri, SEO zehirlenmesi, sosyal medya pazarlaması, forum promosyonları, kötü amaçlı reklamcılık vb. aracılığıyla tanıttıkları web sayfaları aracılığıyla uygulamayı dağıtmaya güveniyorlar.
Araştırmacılar, kaç kişinin bu uygulamaları indirmesi için kandırıldığını söyleyemedi, ancak Coinbase’in uygulamasının yalnızca Android’de 10 milyondan fazla indirmesi var.
Kurbanlara gelince, saldırganlar çoğunlukla Asya nüfusunu hedef alıyor gibi görünüyor. Baidu motorundan gelen arama sonuçları, kampanyadan en çok etkilenenler oldu, çünkü bunlar “büyük miktarlarda” trafik yönlendiriyor (yeni sekmede açılır) kötü amaçlı uygulamaları barındıran sitelere.
Saldırganların kendileri de Asyalı görünüyor. Confiant onlara SeaFlower diyor ve kaynak koddaki yorumların dili, altyapının konumu ve kullanılan çerçeveler ve hizmetler gibi ince ipuçları nedeniyle Çinli olduklarına inanıyor.
Confiant, kampanyanın bu yıl en az Mart ayından beri etkin olduğunu belirterek, “rezil Lazarus Group’tan hemen sonra web3 kullanıcılarını hedef alan teknik açıdan en karmaşık tehdit” olduğunu da sözlerine ekledi.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
