• BIST 9367.77
  • Altın 2952.122
  • Dolar 34.4839
  • Euro 36.1941
  • Bursa 9 °C
  • İstanbul 7 °C
  • Ankara 12 °C

Saldırganlar kripto cüzdanlarını boşaltıyor

Saldırganlar kripto cüzdanlarını boşaltıyor
BlueNoroff tehdit merkezi, kripto para birimi girişimlerinin hesaplarını boşaltıyor...

Kaspersky uzmanları, gelişmiş kalıcı tehdit (APT) merkezi BlueNoroff'un dünya çapındaki küçük ve orta ölçekli şirketlere yönelik büyük kripto para birimi kayıplarına yol açan saldırılarını ortaya çıkardı. SnatchCrypto adlı hareket, kripto para birimlerini, akıllı sözleşmeleri, DeFi, Blockchain ve FinTech endüstrisini ve bunlarla ilgilenen çeşitli şirketleri hedef alıyor.

BlueNoroff'un en son hareketinde saldırganlar, hedef şirketlerin çalışanlarının güvenini "sözleşme" veya başka bir iş dosyası kisvesi altında gözetim işlevlerine sahip tam özellikli bir Windows arka kapısı göndererek suistimal ediyor. Saldırganlar kurbanların kripto cüzdanını boşaltmak için karmaşık altyapı, açıklardan yararlanma ve kötü amaçlı yazılım implantlarından oluşan kapsamlı ve tehlikeli kaynaklar geliştirdi.

BlueNoroff, Lazarus grubunun bir parçası olarak çeşitli yapılarını ve gelişmiş saldırı teknolojilerini kullanıyor. Lazarus APT grubu, bankalara ve SWIFT'e bağlı sunuculara yönelik saldırılarla tanınıyor ve kripto para birimi yazılımının geliştirilmesi için sahte şirketlerin kurulmasıyla uğraşıyor. Aldatılan müşterilere sonrasında yasal görünen uygulamalar yüklendi ve bir süre sonra arka kapıdan güncellemeler iletildi. Ardından kripto para birimi girişimlerine yönelik saldırılar başladı. Kripto para birimi işletmelerinin çoğu küçük veya orta ölçekli girişimler olduğundan, iç güvenlik sistemlerine çok fazla yatırım yapamıyor. Saldırgan bu zaafı değerlendiriyor ve ayrıntılı sosyal mühendislik şemaları kullanarak bundan yararlanıyor.

BlueNoroff, kurbanın güvenini kazanmak için mevcut bir risk sermayesi şirketi gibi davranıyor. Kaspersky araştırmacıları, SnatchCrypto kampanyası sırasında marka adı ve çalışan adlarının kötüye kullanıldığı 15'ten fazla girişimi ortaya çıkardı. Kaspersky uzmanları ayrıca gerçek şirketlerin bu saldırı veya e-postalarla hiçbir ilgisi olmadığına inanıyor. Yeni başlayanlar genellikle tanıdık olmayan kaynaklardan mektuplar veya dosyalar alır. Örneğin, bir girişim şirketi onlara bir sözleşme veya işle ilgili diğer dosyaları gönderir. APT oyuncusu, kurbanların ekteki makro-etkin belgeyi açmasını sağlamak için bunu bir yem olarak kullanır.

Belge çevrimdışı açılacak olsaydı, dosya tehlikeli bir şey ifade etmeyecekti. Büyük olasılıkla bir tür sözleşmenin veya başka bir zararsız belgenin bir kopyası gibi görünecekti. Ancak, dosya açılırken bilgisayar internete bağlıysa, kurbanın cihazına makro etkin başka bir belge gönderilerek kötü amaçlı yazılım dağıtılıyor.

Bu APT grubu, sistemleri enfekte etmek adına çeşitli yöntemlere sahip ve duruma göre çeşitli enfeksiyon zincirlerini bir araya getiriyor. Saldırganlar silaha dönüştürülmüş Word belgelerinin yanı sıra, sıkıştırılmış Windows kısayol dosyaları biçiminde gizlenmiş kötü amaçlı yazılımları da yayıyor. Kurbanın genel bilgileri daha sonra tam özellikli bir arka kapı oluşturan Powershell aracısına gönderiliyor. Bunu kullanarak BlueNoroff, kurbanı izlemek için diğer kötü amaçlı araçları olan bir keylogger ve ekran görüntüsü alıcısını devreye sokuyor.

Ardından saldırganlar haftalarca ve aylarca kurbanları takip ediyor: Finansal hırsızlık için strateji planlarken tuş vuruşlarını topluyor ve kullanıcının günlük işlemlerini izliyor. Kripto cüzdanlarını yönetmek için popüler bir tarayıcı uzantısı kullanan belirgin bir hedef bulduktan sonra (örneğin Metamask uzantısı gibi), uzantının ana bileşenini sahte bir sürümle değiştiriyor.

Araştırmacılara göre saldırganlar büyük transferler keşfettiklerinde bir bildirim alıyorlar. Güvenliği ihlal edilmiş kullanıcı başka bir hesaba bir miktar para aktarmaya çalıştığında, işlem sürecini durdurup kendi aracılarını enjekte ediyorlar. Başlatılan ödemeyi tamamlamak için kullanıcı "onayla" düğmesini tıkladığında, siber suçlular alıcının adresini değiştiriyor ve işlem miktarını en üst düzeye çıkarıyor. Böylece hesabı tek bir hamlede boşaltıyor.

Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Seongsu Park, şunları söylüyor: "Saldırganlar sürekli olarak başkalarını kandırmak ve istismar etmek için yeni yollar keşfederken, küçük işletmeler çalışanlarını temel siber güvenlik uygulamaları konusunda eğitmeli. Şirketin kripto cüzdanlarıyla çalışması özellikle önemlidir. Kripto para birimi hizmetlerini ve uzantılarını kullanmanın yanlış bir tarafı yoktur, ancak bunun hem APT hem de siber suçlular için çekici bir hedef olduğunu unutmayın. Bu nedenle, bu sektörün iyi korunması gerekiyor."

BlueNoroff hakkındaki raporun tamamını Securelist'te okuyabilirsiniz.

Kuruluşların kendini korunması için Kaspersky aşağıdakileri öneriyor:

Hedefli saldırıların çoğu kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, personelinize temel siber güvenlik hijyeni eğitimi verin.
Ağlarınızın siber güvenlik denetimini gerçekleştirin ve ağ çevresinde veya içinde keşfedilen tüm zayıflıkları düzeltin.
Metamask kod tabanına çok aşina değilseniz, uzantının enjeksiyonunu manuel olarak keşfetmek zordur. Ancak Chrome uzantısında yapılan değişiklik iz bırakır. Tarayıcının Geliştirici Moduna geçirilmesi ve Metamask uzantısının çevrimiçi mağaza yerine yerel bir dizinden yüklenmesi gerekir. Eklenti mağazadan geliyorsa Chrome, kod için dijital imza doğrulamasını zorunlu kılar ve kod bütünlüğünü garanti eder. Bu nedenle, şüpheniz varsa, hemen Metamask uzantınızı ve Chrome ayarlarınızı kontrol edin.

Anti-APT ve EDR çözümlerini kurun. Bunlar tehdit keşfi ve tespiti, soruşturma ve olayların zamanında düzeltilmesini mümkün kılar. SOC ekibinizin en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle düzenli olarak becerilerini yükseltin. Yukarıdakilerin tümü Kaspersky Expert Security framework kapsamında mevcuttur.
Uygun uç nokta korumasının yanı sıra, özel hizmetler yüksek profilli saldırılara karşı yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar hedeflerine ulaşmadan önce, saldırıları erken aşamalarında belirlemeye ve durdurmaya yardımcı olur.

  • Yorumlar 0
  • Facebook Yorumları 0
    UYARI: Küfür, hakaret, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış,
    Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.
    Bu habere henüz yorum eklenmemiştir.
Diğer Haberler
  • Sahte iPhone 16 tekliflerine dikkat09 Eylül 2024 Pazartesi 10:41
  • Takviye ürün dolandırıcılığı arttı07 Eylül 2024 Cumartesi 09:20
  • Tehlike arama motorları ile yayılıyor06 Eylül 2024 Cuma 10:51
  • Güvenlik açıklarına dikkat02 Eylül 2024 Pazartesi 10:49
  • Banka dolandırıcılığına dikkat02 Eylül 2024 Pazartesi 09:20
  • Dijital kimlik nasıl korunur?31 Ağustos 2024 Cumartesi 09:27
  • Ebeveynler bu tuzağa düşmeyin!31 Ağustos 2024 Cumartesi 09:25
  • Siber suçluların en sevdiği saldırı29 Ağustos 2024 Perşembe 10:31
  • İnternet kullanıcıları saldırı altında26 Ağustos 2024 Pazartesi 09:53
  • Siber suçluların yeni tekniği23 Ağustos 2024 Cuma 09:18
  • Tüm Hakları Saklıdır © 2015 Bursa Bakış | İzinsiz ve kaynak gösterilmeden yayınlanamaz.
    Tel : Haber İhbar Hattı: 0544.201 80 43 Faks : 0544.201 80 43