Chrome, Brave ve Opera tarayıcıları için hazırlanmış makûs emelli bir uzantı, Kaspersky tarafından keşfedilen yeni Satacom kampanyasının bir parçası olarak bulaştığı sistemlerden kripto para çalmak için kullanılıyor. Nisan Mayıs aylarında takribî 30 bin kullanıcı bu uzantı tarafından hedef alınma tehlikesiyle karşı karşıya kaldı. Saldırganlar, kullanıcıların Coinbase ve Binance dahil olmak üzere hedeflenen kripto para borsalarının web sitelerini dolaşırken uzantının tespit edilmemesini sağlayacak bir dizi temkin de aldı. Uzantı, tehdit oyuncularının söz mevzusu web siteleri tarafından şahıslara sevk edilen operasyon bildirimlerini saklayarak saklıca kripto paralarını çalmalarını sağlıyor. Kampanyayla alakalı detaylı bir rapor Securelist web sitesinde paylaşıldı.

Yeni kampanyanın 2019 ’dan beri faal olan ve çoğunlukla üçüncü parti web sitelerine yerleştirilmiş makûs emelli reklamlar aracılığıyla sunulan ünlü makûs emelli yazılım ailesi Satacom Downloader ile irtibatı olduğu belirtiliyor. Bu emelle kurgulanan irtibatlar veya reklamlar, kullanıcıları Satacom Downloader kapsayan bir arşiv dosyasını indirmeyi öneri eden sahte dosya paylaşım hizmetlerine ve değişik makûs emelli sayfalara yönlendiriyor. Bu son kampanyada, indirilen şey makûs emelli tarayıcı uzantısı oluyor. 

Son kampanya, kripto paraları çalan ve faaliyetlerini saklayan bir tarayıcı uzantısı yüklüyor

Kampanyanın öncelikli emeli, hedeflenen kripto para borsası web sitelerine müteveccih web enjeksiyonları reelleştirerek kurbanların hesaplarından Bitcoin BTC çalmak. Bununla beraber makûs emelli yazılım değişik kripto para ünitelerini hedef alacak biçimde basitçe değiştirilebiliyor. Yazılım, Chrome, Brave ve Opera gibi Chromium tabanlı tarayıcılara bir uzantı yükleyerek dünya genelinde kripto para yatırımcısı olan fertsel kullanıcıları hedeflemeye ve emeline erişmeye çalışıyor. Kaspersky telemetri bilgileri, Nisan ve Mayıs aylarında takribî 30 bin şahsın kampanya tarafından hedef alınma tehlikeyi altında olduğunu ortaya koydu. Son iki ayda bu tehditten en çok etkilenen ülkeler Brezilya, Meksika, Cezayir, Türkiye, Hindistan, Vietnam ve Endonezya oldu.

Hücuma uğrayan kullanıcı rakamına göre başta gelen ülkeler, Nisan-Mayıs 2023

Makûs emelli uzantı, kullanıcı hedeflenen kripto para üniteyi web sitelerini dolaşırken tarayıcı manipülasyonları hakikatleştiriyor. Kampanya Coinbase, Bybit, Kucoin, Huobi ve Binance kullanıcılarını hedef alıyor. Uzantı kripto para çalmanın yanı gizeme ilk faaliyetini saklamak için ek eylemler hakikatleştiriyor. Misalin, operasyonların e-posta onaylarını saklıyor ve kripto para web sitelerinden gelen mevcut e-posta dizilerini değiştirerek asıl olanlara benzeyen sahte diziler oluşturuyor.

PowerShell betiği gözlemlendi

Bu kampanyada tehdit oyuncuları teslimat için Satacom indiricisini kullandıklarından, resmi uzantı mağazalarına saklıca girmenin yollarını bulmaya lüzum dinlemiyor. İlk bulaşma, kullanıcının indirmek istediği yazılımları genellikle kırılmış versiyonlarını fiyatsız olarak indirmesine izin veren yazılım portallarını taklit eden bir web sitesinden indirilen ZIP arşiv dosyası ile başlıyor. Satacom genellikle şahsın cihazına muhtelif ikili dosyalar indiriyor. Kaspersky tahlilcileri, son kampanyada bunlar arasında hasarlı tarayıcı uzantısının montajını asıllaştıran bir PowerShell betiği gözlemledi.

Sonrasında bir dizi makûs maksatlı eylem, kullanıcı internette gezinirken uzantının saklıca çalışmasını sağlıyor. Netice olarak tehdit oyuncuları web enjeksiyonlarını kullanarak Bitcoin ’i kurbanın cüzdanından kendi cüzdanlarına aktarabilir hale geliyor.

Kaspersky Makûs Emelli Yazılım Analisti Haim Zigel, şunları söylüyor: “Siber kabahatliler, uzantıyı komut dosyası farklılıkları yoluyla hakimiyet etme mahareti ilave ederek geliştirdiler. Bu, değişik kripto para ünitelerini de basitçe hedeflemeye başlayabilecekleri anlamına geliyor. Üstelik uzantı tarayıcı tabanlı olduğu için Windows, Linux ve macOS platformlarını hedef alabiliyor. İhtiyat olarak, kullanıcıların çevrimiçi hesaplarını rastgele bir kuşkulu aktifliğe karşı kumpaslı olarak hakimiyet etmelerini ve kendilerini bu gibi tehditlerden gözetmek için emin güvenlik çözümleri kullanmalarını öneriyoruz.”

Makûs emelli yazılımın detaylı teknik incelemesini Securelist adresinde bulabilirsiniz.

Kaspersky uzmanları, kripto para ünitelerini çaldırmadan tehlikesiz bir biçimde operasyon yapabilmeniz için şunları öneriyor:

Kimlik avı dolandırıcılığına karşı dikkatli olun. Dolandırıcılar genellikle kimlik avı e-postalarını veya sahte web sitelerini kullanarak insanları giriş bilgilerini veya özel anahtarlarını ifşa etmeleri emeliyle aldatma yoluna gider. Web sitesinin adresini her zaman iki kere hakimiyet edin ve kuşkulu irtibatları açmayın.  Özel anahtarlarınızı paylaşmayın. Özel anahtarlarınız kripto para cüzdanınızın kilidini açar. Bunları saklı tutun ve asla kimseye vermeyin.  Kendinizi eğitin. Kripto paranızı güvende yakalamak için en son siber tehditler ve en iyi uygulamalar hakkında bilgi sahibi olun. Kendinizi koruma mevzusunda ne kadar çok şey bilirseniz, siber hücumları önlemek için o kadar teçhizatlı olursunuz. Yatırım yapmadan evvel araştırma yapın. Rastgele bir kripto para ünitesine yatırım yapmadan evvel projeyi ve arttaki takımı iyice inceleyin. Projenin legal olduğundan emin olmak için projenin web sitesini, teknik tahlilini ve sosyal medya kanallarını hakimiyet edin.  Emin güvenlik çözümleri kullanın: Emin bir güvenlik çözümü, makinelerinizi muhtelif tehdit türlerine gözetecektir. Kaspersky Premium, öğrenilen ve meçhul tüm kripto para dolandırıcılığının yanı gizeme bilgisayarınızın operasyon gücünün kripto para madenciliği yapmak için yetkisiz bireylerce kullanımını önler.

Kaynak: BYZHA Beyaz Haber Ajansı