Kripto para çalmak için tasarlanmış bir zararlı yazılım kampanyası, kendini popüler göstermek için sahte GitHub yıldızları, şişirilmiş indirme sayıları ve yapay zeka seslendirmeli YouTube dersleri kullanarak yayılıyor. Check Point Research'in yeni analizine göre, bu operasyon Rust tabanlı bir pano hırsızı (clipper) kullanıyor. Bu clipper, kullanıcının kopyaladığı kripto cüzdan adreslerini sessizce saldırganın adresiyle değiştiriyor ve hem Windows hem de macOS için uyarlanmış durumda.
Kampanya, meşru görünmek için büyük çaba harcıyor. Check Point, saldırganın birçok platformda sahte sosyal kanıt oluşturmak için 'Ghost Networks' adı verilen sahte hesaplar kullandığını belirtiyor. Altı veya daha fazla GitHub hesabı, sahte yıldızlar ve çatallarla şişirilmiş depolar; SourceForge'da 44.485 indirme gösteren projeler (Android derlemesi olmamasına rağmen çoğu indirme Android cihazlardan); AI seslendirmeli, sahte izlenme artışları ve koordineli övgüler içeren bir YouTube kanalı; ve VirusTotal'da 'güvenli' oyları ve yorumları olan girdiler dikkat çekiyor.
Yöntemler arasında en yenilikçisi VirusTotal taktiği. Check Point, ekilen 'güvenli' oyların düşük antivirüs algılama oranlarıyla birleşerek itibar tabanlı savunmaları yanıltabildiğini ve dosyaların temizlenmesine neden olabildiğini uyarıyor. Saldırgan ayrıca bazıları ücretli olabilecek, bazıları ise güvenliği ihlal edilmiş sitelerden oluşan meşru haber sitelerinde tanıtım yazıları yayınlamış. Zararlı yazılımın kendisi ise basit: Kullanıcı sahte aracı çalıştırdığında, bir yükleyici Rust clipper'ı başlatıyor, kendini kopyalayarak kalıcılık sağlıyor ve başlangıçta çalışıyor.
Önemli Gelişmeler
Clipper, panoda kripto cüzdan adresine benzeyen bir şey gördüğünde, onu sessizce gömülü listedeki (çoğu Bitcoin olmak üzere 15.500'den fazla adres) saldırgan cüzdanıyla değiştiriyor. macOS sürümü, kullanıcıları Apple'ın karantina bayrağını kaldırmaya ve imzasız uygulamayı çalıştırmak için Gatekeeper'ı atlatmaya yönlendiren bir 'kilit açıcı' betiği ekliyor. Her iki sürüm de kalıcılık için derinlere yerleşiyor; macOS çeşidi, 30 saniyelik bir bekçi çalıştırarak kendini yeniden yazıyor ve ikiliyi klonlayarak manuel kaldırmaya direniyor. Check Point, bu vakayı saldırganların güven oluşturma yöntemlerindeki bir değişim olarak değerlendiriyor ve benzer taktiklerin gelecekte daha yıkıcı yükler taşıyabileceği uyarısında bulunuyor.