Kaspersky araştırmacılarına göre, ABD ve Almanya’daki Apple kullanıcılarını hedef alan yeni kötü amaçlı yazılımlar, korsan yazılım aracılığıyla dağıtılan bir Truva atı ile Bitcoin ve Exodus kripto cüzdan uygulamalarına bulaşıyor.
Kötü amaçlı yazılım, kırılmış uygulamalar yoluyla yayılır ve kullanıcının makinesinde yüklü olan Exodus ve Bitcoin kripto cüzdan uygulamalarını, cüzdanın kilidi açıldıktan sonra gizli kurtarma ifadelerini çalan virüslü sürümlerle değiştirebilir.
Bu hafta yayınlanan raporda, kayıt edilmiş Saldırganlar, enfeksiyonun ikinci aşaması olarak şifrelenmiş bir Python betiğini kurbanlarına iletmek için DNS TXT kayıtlarını kullanıyor.
Kaspersky güvenlik uzmanı Sergey Puzan şöyle açıklıyor: “Cüzdan uygulamasını değiştirme süreci basittir çünkü bu aşamada kötü amaçlı yazılım, bilgisayara bulaşmanın ilk aşamasında verilen root erişimine zaten sahiptir.”
Kötü amaçlı yazılım, eski uygulamayı “/Applications/” dizininden kaldırır ve onu yeni, kötü amaçlı bir uygulamayla değiştirir. Kurulum ve yama işleminin ardından uygulamalar çalışır hale gelir ve kullanıcı, arka planda çalışan kötü amaçlı yazılımdan habersiz olur.
Kullanıcılar güvenliği ihlal edilmiş bu cüzdan uygulamalarını başlattığında, kötü amaçlı yazılım, tohum ifadeleri veya cüzdan şifreleri de dahil olmak üzere verileri, saldırganlar tarafından kontrol edilen bir komuta ve kontrol (C2) sunucusuna gönderir.
Bu, saldırganların kurbanın dijital cüzdanı üzerinde tam kontrole sahip olmasına neden olabilir.
Puzan, “Kötü amaçlı yazılımın neden özellikle ‘yeni’ macOS sürümlerini hedef aldığını bilmiyoruz, ancak görünen o ki bu kampanya hâlâ geliştirme sürecindeydi.” diyor. “Son aşamadaki arka kapı için işlevsellik güncellemelerini almayı başardık ancak sunucudan hiçbir komut almadık.”
Saldırganların macOS 13.6 (Ventura) ve sonraki sürümlere odaklanmasının belirli bir nedeni olmadığını da sözlerine ekledi.
Puzan, “Kötü niyetli aktörlerin uygulamaların kırık sürümlerini kullanmasının tek nedeni, kullanıcının korumasını azaltmak ve onlardan yönetici şifresini girmelerini istemek, böylece kötü amaçlı işleme kök erişimi vermektir” diye açıklıyor.
Bu tür tehditlere karşı form korumasının, iyi bilinen ve güvenilir kaynaklardan bile olsa, herhangi bir kırık veya değiştirilmiş uygulamanın indirilmesini önlemek olduğunu söylüyor.
Puzan, “Bu kusursuz bir yöntem olmasa da uzlaşma olasılığını önemli ölçüde azaltıyor” diyor.
Bambanek Consulting başkanı John Bambanek, korsan uygulamaların kötü amaçlı yazılım için bir araç olarak kullanılmasının özellikle yeni bir teknik olmadığını, ancak kripto para birimi cüzdanlarını çalma işlevine sahip macOSX uygulamalarının seçiminin benzersiz olduğunu söylüyor.
“Kripto para biriminin çalınmasını önleme güvenliği, özel cüzdan anahtarının ve parolanın gizliliğine dayandığından, her ikisini de çalmak, saldırganın kurbandan anında para kazanabileceği anlamına gelir” diye açıklıyor.
Kripto Para Cüzdanlarına Yönelik Gelişen Tehditler
2023’te kripto para cüzdanı sahiplerini hedef alan çok sayıda kötü amaçlı kampanya vardı ancak Kaspersky’nin bulguları, bazı saldırganların mümkün olduğu kadar uzun süre tespit edilmeden kurbanlarının kripto cüzdanlarının içeriğine erişmelerini sağlamak için artık daha fazla çaba harcadıklarını gösteriyor.
Puzan, “2024’te karşılaşacağımız tehditleri tahmin etmek zor olsa da, kripto para birimlerinin artan popülaritesi artan suç faaliyetlerini çekiyor” diyor.
Critical Start’ın tehdit tespit mühendisi Adam Neel, kötü niyetli aktörlerin, tekniklerini kripto para birimi kullanıcılarının davranışlarından ve tercihlerinden yararlanmak için uyarladıklarını belirtiyor.
“Kurbanları kötü amaçlı yazılım indirmeye ikna etmek için korsan yazılım sunmak gibi sosyal mühendislik taktiklerini kullanıyorlar” diyor. “Kötü amaçlı yazılımın meşru cüzdan uygulamalarını değiştirme ve C2 sunucusu yanıt vermediğinde bile çalışmaya devam etme yeteneği, kullanıcıların tespit edip kaldırması zor olabilecek bir kalıcılık düzeyi gösteriyor.”
Bambanek, bu uygulamaları ilk etapta sisteme almak için işletim sistemi tarafından sağlanan korumaların çoğunun açıkça devre dışı bırakılması gerektiğini, dolayısıyla en büyük savunma mekanizmasının korsan yazılımlardan ve yalnızca resmi uygulama mağazasından gelen kaynak uygulamalardan kaçınmak olduğunu belirtiyor.
“Hala korsan uygulamalar isteyen kullanıcılar için, kripto para uygulamalarını ve özel cüzdanlarını, bu tür yazılımların indirilip kurulmadığı güvenli makinelerde tutmaları gerekir” diyor.
Neel, kullanıcıların özellikle büyük miktarlarda dijital para depolarken önlem almaya devam etmesi gerektiğini söylüyor.
“Kripto para birimi siber suçlular için çekici bir hedef olmaya devam ediyor, dolayısıyla kötü niyetli aktörler davranışlarını ve teknolojilerini ilerletmeye motive olacak” diyor.
