Küresel Kripto Hırsızlığı: “Dark Partners” Tehtidi
Son dönemlerde, siber güvenlik araştırmacıları tarafından "Dark Partners" olarak adlandırılan bir tehdit aktörü grubu, dünya genelinde kripto para hırsızlığı yapmak için geniş bir sahte yapay zeka, VPN ve kripto yazılım indirme sitesi ağı kullanmaktadır. Bu örgütün, popüler uygulamaların kopyalarını taklit eden sahte siteler aracılığıyla Poseiden (macOS) ve Lumma (Windows) gibi bilgi hırsızları ve zararlı yazılımlar sunduğu bilinmektedir. Bu yazılımlar, kripto para ve hassas verileri çalmak için kullanılmakta; örneğin, ana bilgisayar bilgileri, kimlik bilgileri, özel anahtarlar ve çerezler gibi veriler siber suç pazarında satılmaktadır.
Zararlı Yazılımların Yayılımı
Windows işletim sisteminde, tehdit aktörleri, PayDay Loader gibi zararlı yazılım sürümlerini dijital olarak imzalamak için birden fazla şirketten alınan sertifikaları kullanmıştır. En son ortaya çıkan Lumma Stealer, geçtiğimiz ay law enforcement tarafından ele geçirilen binlerce domain ve bu yapının bir kısmını içeriyordu. macOS tarafında ise, Poseidon Stealer özel bir DMG yükleyicisi kullanarak, Firefox ve Chromium tabanlı web tarayıcıları hedef almaktadır.
Wallet Klasörlerini Hedefleme
Bu kampanyanın arkasındaki tehdit aktörleri, siber güvenlik araştırmacısı g0njxa tarafından "Dark Partners" olarak adlandırılmıştır. g0njxa, enfeksiyon adımlarını ve kullanılan zararlı yazılımları analiz etmektedir. Dark Partners, en az 37 uygulama ve aracı taklit eden basit web siteleri üzerinden bilgi hırsızlarını dağıtmaktadır. Bu sitelerden bazıları, üretken AI teknolojisi kullanarak illüstrasyonlar, videolar ve sanatsal içerikler yaratmaktadır.
Söz konusu sahte siteler arasında, TradingView, MetaTrader 5, Ledger, Exodus, Koinly, AAVE ve Unusual Whales gibi yedi kripto uygulama ve platformu da bulunmaktadır. Ayrıca, Windscribe gibi VPN hizmetleri, ödeme işleme platformu Stripe, 3D modelleme uygulaması Blender, içerik üreticilerine yönelik platform TikTok Studio, uzaktan masaüstü çözümü UltraViewer ve Mac Clean gibi macOS için sistem temizleme araçları da bu sahte siteler arasında yer almaktadır.
g0njxa’nın raporuna göre, bu sahte indirme sayfaları sadece bir indirme butonundan ibaret olup, hepsi benzer bir "Dosyanın indirilmesini bekliyoruz" çerçevesini paylaşmaktadır. Zararlı yazılımı dağıtmadan önce, site bot indirmelerini kontrol etmekte ve kullanıcı bilgilerini bir uç noktaya POST isteğiyle göndermektedir. Nihayetinde, indirme işlemi, talepte bulunan işletim sistemine bağlı olarak tetiklenmektedir.
PayDay Loader ve Poseidon Stealer
g0njxa, PayDay Loader panelinin, isminin yer aldığı oyundan esinlenilerek oluşturulduğunu belirtmektedir. Dikkat çekici bir durum olarak, Poseidon Stealer, Temmuz 2024’te satışa sunulmuş ve bilinmeyen bir kaynağa satılmıştır. Malware, satışından bu yana önemli bir payload değişikliği yaşamamıştır.
Poseidon’un AppleScript kodu, tarayıcı verilerini, özellikle de Chrome, Brave, Edge, Vivaldi, Opera ve Firefox gibi Chromium tabanlı tarayıcılardan belirli uzantı verilerini topladığını göstermektedir. Ayrıca, MetaMask gibi cüzdan uygulamaları için de belirli klasörleri hedeflemektedir.
PayDay Loader, Windows’a özgü bir zararlı uygulama olarak, bilgi hırsızlarını dağıtmak amacıyla elektron tabanlı bir yapı olarak geliştirilmiştir. Bu uygulama, güvenlik analiz araçlarıyla ilgili yaygın süreç adlarını kontrol eden bir anti-sandbox modülüne sahiptir ve bu araçlardan herhangi biri tespit edildiğinde kendisini sonlandırmaktadır.
g0njxa, zararlı yazılımı analiz ederek, komut ve kontrol (C2) sunucusu adresini bir Google Takvim bağlantısından alacak şekilde obfüze edilmiş bir fonksiyon kullandığını keşfetmiştir. Kalıcılığı sağlama süreci ise oldukça karmaşık olup, her oturum açıldığında bir PowerShell scripti çalıştırarak, NTFS alternatif veri akışında gizli bir sanal sabit disk (VHD) erişimini sağlar.
Sonuç ve Tehditlerin Devamı
Dark Partners’ın kullandığı kod imzalama sertifikalarının şu an geçerli olmaması, kötü niyetli kampanyaya geçici bir duraklama getirmiştir. Ancak, g0njxa’nın raporunda, analiz edilen asıllar (PayDay Loader ve Poseidon Stealer) için kapsamlı bir tehlike göstergeleri listesi ve yaklaşık 250 alan adı da bulunmaktadır. Siber suç çeteleri arasında tanınan g0njxa, özellikle krazy evil adlı bir grubu takip etmektedir. Bu grup, kurbanları çekmek için sosyal medya platformlarında karmaşık sosyal mühendislik taktikleri kullanmaktadır. Dark Partnerların tehditleri, siber güvenlik alanında dikkat edilmesi gereken önemli bir konu olarak karşımıza çıkmaktadır.
