Kripto para dünyasında yeni bir tehdit, sahte popülerlikle kendini meşru gösterme taktiğiyle yayılıyor. Check Point Research tarafından yapılan analize göre, Rust tabanlı bir 'clipper' kötü amaçlı yazılım, sahte GitHub yıldızları, şişirilmiş indirme sayıları ve yapay zeka anlatımlı YouTube eğitim videoları kullanarak kurbanlarını cezbediyor. Bu clipper, kopyalanan kripto cüzdan adreslerini saldırganın adresleriyle değiştirerek çalışıyor ve hem Windows hem de macOS için uyarlanmış durumda.
Saldırganlar, 'kolay para' vaat eden araçlar, kripto sniper botlar ve çöküş kumarı oyunlarını tahmin ettiğini iddia eden 'predictor' yazılımlar gibi cazip tuzaklar kullanıyor. Bu araçlar, özellikle hızlı kazanç peşindeki yatırımcıları ve kumarbazları hedef alıyor. Bir WordPress kimlik avı sayfası, merkezi bir dağıtım noktası olarak işlev görüyor ve kurbanları indirme bağlantılarına yönlendiriyor.
Kampanyanın en dikkat çekici yönü, meşru görünmek için harcanan çaba. Check Point, saldırganın birden fazla platformda 'Hayalet Ağlar' kullanarak sahte sosyal kanıt oluşturduğunu belirtiyor. Altı veya daha fazla GitHub hesabı, depolar sahte yıldızlar ve fork'larla şişirilmiş; SourceForge projeleri 44.485 indirme gösteriyor ancak çoğu Android cihazdan geliyor (Android sürümü olmamasına rağmen); bir YouTube kanalında AI anlatıcılar, sahte görüntülenme artışları ve koordineli övgüler kullanılıyor; VirusTotal girişlerinde ise sahte 'güvenli' oyları ve yorumlar bulunuyor.
Teknik Analiz
VirusTotal taktiği özellikle yenilikçi. Check Point, sahte 'güvenli' oylarının düşük antivirüs tespit oranlarıyla birleştiğinde, itibar tabanlı savunmaları kandırarak dosyaların temizlenmesini engelleyebileceği uyarısında bulunuyor. Ayrıca, saldırganın bazıları ücretli, bazıları ele geçirilmiş olabilecek meşru haber sitelerinde tanıtım yazıları yayınladığı da tespit edildi.
Kötü amaçlı yazılımın kendisi basit bir yapıya sahip. Kurban sahte aracı çalıştırdığında, bir yükleyici Rust clipper'ını başlatıyor. Clipper, kendini kopyalayarak kalıcılık sağlıyor ve başlangıçta çalışacak şekilde ayarlanıyor. Ardından, panoyu kripto cüzdan adreslerine benzer her şey için izliyor ve bir tespit ettiğinde, bunu sessizce 15.500'den fazla adresten oluşan gömülü listedeki saldırgan cüzdanıyla değiştiriyor; çoğu Bitcoin adresi.
macOS sürümünde ek bir sosyal mühendislik katmanı bulunuyor: Kullanıcıları Apple'ın karantina bayrağını kaldırmaya ve Gatekeeper'ı atlatmaya yönlendiren bir 'kilit açıcı' betik. Her iki sürüm de kalıcılık için derinlemesine yerleşiyor; macOS varyantı, 30 saniyelik bir bekçi çalıştırarak kendini yeniden yazıyor ve manuel kaldırmayı zorlaştırmak için ikili dosyayı klonluyor. Check Point, bu durumu saldırganların güven inşa etme yöntemindeki bir değişim olarak yorumluyor: Kötü amaçlı yazılımı gizlemek yerine, olumlu sinyallerle çevreliyorlar, böylece kurban dosyayı çalıştırdığında normal bir uygulama gibi hissediyor.
Kaynak: infosecurity-magazine.com