Giriş
Kuzey Kore ile bağlantılı tehdit aktörü UNC1069, kripto para sektörünü hedef alarak Windows ve macOS sistemlerden hassas veriler çalmaktadır. Bu saldırıların amacı, finansal hırsızlığı kolaylaştırmak için sosyal mühendislik tekniklerini kullanmaktır.
Saldırı Nasıl Çalışıyor?
Tehdit aktörü, kurbanları yanıltmak için çeşitli yöntemler kullanmaktadır. Bunlar arasında:
- Compromised bir Telegram hesabı ile sosyal mühendislik stratejisi.
- Sahte bir Zoom toplantısı düzenlemek.
- ClickFix enfeksiyon vektörünü kullanmak.
- AI tarafından üretilen video içerikleri kullanarak kurbanları yanıltmak.
Saldırgan, zararlı bağlantıları paylaşarak kurbanları sahte bir siteye yönlendirmektedir. Örneğin, “zoom.uswe05[.]us” adresine yönlendiren bir toplantı linki sunmaktadır. Kurban, bu linke tıkladığında sahte bir video görüşme arayüzü ile karşılaşmakta ve kamera açması istenmektedir.
Etkilenen Sistemler
UNC1069 grubu, 2018 yılından beri aktif olup, birçok yeni zararlı yazılım ailesi kullanarak saldırılarını gerçekleştirmektedir. Kullanılan bazı zararlı yazılım aileleri arasında:
- SILENCELIFT
- DEEPBREATH
- CHROMEPUSH
Bu yazılımlar aracılığıyla, kripto para sektöründe faaliyet gösteren girişimcilerin verileri hedef alınmaktadır.
Çözüm ve Korunma
Kullanıcıların saldırılar karşısında kendilerini koruyabilmeleri için şu önlemleri almaları önerilmektedir:
- Yazılımlarınızı güncel tutun ve dayanıklılık kuraları uygulayın.
- Bilinmeyen veya şüpheli bağlantılara tıklamaktan kaçının.
- Mümkünse, iki aşamalı kimlik doğrulama kullanın.
- Antivirüs ve siber güvenlik yazılımları ile sisteminizi düzenli olarak tarayın.
Sonuç olarak, kripto para ve finans sektöründeki kullanıcıların bu tür saldırılara karşı dikkatli olmaları ve gerekli güvenlik önlemlerini almaları kritik öneme sahiptir. Acil durumlarda, şüpheli işlemleri hemen yetkililere bildirmeniz önerilir.
