Sahte GitHub Yıldızları ve AI Videolarla Maskelenen Kripto Hırsızı Linux

Sahte GitHub Yıldızları ve AI Videolarla Maskelenen Kripto Hırsızı

Kripto çalan bir kötü amaçlı yazılım kampanyası, sahte GitHub yıldızları ve AI sesli YouTube videolarıyla kullanıcıları kandırıyor.

Kripto para çalmaya yönelik yeni bir kötü amaçlı yazılım kampanyası, sahte popülerlik gösterileriyle dikkat çekiyor. Check Point Research tarafından yapılan analize göre, saldırganlar GitHub'da sahte yıldızlar ve forklarla şişirilmiş depolar, yapay zeka seslendirmeli YouTube eğitimleri ve abartılı indirme sayıları oluşturarak 'Ghost Networks' adı verilen sahte hesaplar ağıyla güven inşa ediyor. Bu yöntemlerle, Windows ve macOS için geliştirilmiş Rust tabanlı bir clipboard hijacker (clipper) yayılıyor. Clipper, kullanıcının kopyaladığı kripto cüzdan adresini sessizce saldırganın adresiyle değiştiriyor.

Saldırganların hedefi, kolay para vaat eden 'edge' araçlar, kripto sniper botları ve çöküş-kumar oyunlarını tahmin ettiğini iddia eden 'prediction' araçları gibi yazılımları kullanmaya hevesli tüccarlar ve kumarbazlar. WordPress tabanlı bir kimlik avı sayfası, merkez olarak kullanılıyor ve kurbanları indirme sayfalarına yönlendiriyor. Check Point, kampanyanın altıdan fazla GitHub hesabı, 44.485 indirme gösteren SourceForge projeleri (çoğu Android cihazdan olmasına rağmen Android sürümü yok), yapay zeka sesli ve sahte görüntülenme artışları olan bir YouTube kanalı ve VirusTotal'da 'güvenli' oylarıyla dolu girdiler kullandığını tespit etti.

Kötü amaçlı yazılımın kendisi oldukça basit. Kurban sahte aracı çalıştırdığında, bir yükleyici Rust clipper'ı başlatıyor. Clipper kendini kopyalayarak kalıcılık sağlıyor ve başlangıçta çalışıyor. Ardından, panoyu kripto cüzdan adresine benzeyen her şey için izliyor ve bulduğunda, gömülü 15.500'den fazla adres listesinden (çoğu Bitcoin) bir saldırgan adresiyle değiştiriyor. macOS sürümünde, Apple'ın karantina bayrağını kaldırmak ve Gatekeeper'ı atlamak için bir 'unlocker' betiği bulunuyor. Her iki sürüm de kalıcılık için derinlemesine yerleşiyor ve macOS varyantı, 30 saniyelik bir bekçi ile kendini yeniden yazıp ikili dosyayı klonlayarak manuel kaldırmaya direniyor.

Check Point, bu kampanyayı saldırganların güven inşa etme yöntemlerindeki bir değişimin parçası olarak değerlendiriyor. Kötü amaçlı yazılımı gizlemek yerine, saldırgan onu olumlu sinyallerle çevreliyor ve kurban dosyayı çalıştırdığında normal bir uygulama gibi hissettiriyor. Şirket, bu tekniklerin diğer bilgi hırsızları veya kötü amaçlı yazılım aileleri tarafından da kullanılabileceğini ve daha olgun ortamlarda tam fidye yazılımı saldırılarına yol açabileceğini uyarıyor. Yani, sahte itibar ve geniş tanıtımın aynı oyun kitabı, zamanla daha zararlı yükler dağıtmak için yeniden kullanılabilir.

Paylaş: