Kaspersky Küresel Araştırma ve Analiz Ekibi `Saldırganlar sürekli olarak başkalarını kandırmak ve istismar etmek için yeni yollar keşfederken, küçük işletmeler çalışanlarını temel siber güvenlik uygulamaları konusunda eğitmeli`uyarısı yaptı.
Kaspersky açıklamasına göre, SnatchCrypto adlı hareket, kripto para birimlerini, akıllı sözleşmeleri, DeFi, Blockchain ve FinTech endüstrisini ve bunlarla ilgilenen çeşitli şirketleri hedef alıyor.
BlueNoroff'un en son hareketinde saldırganlar, hedef şirketlerin çalışanlarının güvenini "sözleşme" veya başka bir iş dosyası kisvesi altında gözetim işlevlerine sahip tam özellikli bir Windows arka kapısı göndererek suistimal ediyor.
Saldırganlar, kurbanların kripto cüzdanını boşaltmak için karmaşık altyapı, açıklardan yararlanma ve kötü amaçlı yazılım implantlarından oluşan kapsamlı ve tehlikeli kaynaklar geliştirdi.
BlueNoroff, Lazarus grubunun bir parçası olarak çeşitli yapılarını ve gelişmiş saldırı teknolojilerini kullanıyor.
Lazarus APT grubu, bankalara ve SWIFT'e bağlı sunuculara yönelik saldırılarla tanınıyor ve kripto para birimi yazılımının geliştirilmesi için sahte şirketlerin kurulmasıyla uğraşıyor.
Kripto para birimi işletmelerinin çoğu küçük veya orta ölçekli girişimler olduğundan iç güvenlik sistemlerine çok fazla yatırım yapamıyor.
Saldırgan bu zaafı değerlendiriyor ve ayrıntılı sosyal mühendislik şemaları kullanarak bundan yararlanıyor.
Saldırganlar haftalarca ve aylarca kurbanları takip ediyor
BlueNoroff, kurbanın güvenini kazanmak için mevcut bir risk sermayesi şirketi gibi davranıyor.
Kaspersky araştırmacıları, SnatchCrypto kampanyası sırasında marka adı ve çalışan adlarının kötüye kullanıldığı 15'ten fazla girişimi ortaya çıkardı.
Kaspersky uzmanları, ayrıca, gerçek şirketlerin bu saldırı veya e-postalarla hiçbir ilgisi olmadığına inanıyor. Yeni başlayanlar genellikle tanıdık olmayan kaynaklardan mektuplar veya dosyalar alabiliyor.
Saldırganlar, silaha dönüştürülmüş Word belgelerinin yanı sıra sıkıştırılmış Windows kısayol dosyaları biçiminde gizlenmiş kötü amaçlı yazılımları da yayıyor.
Kurbanın genel bilgileri daha sonra tam özellikli bir arka kapı oluşturan Powershell aracısına gönderiliyor.
Bunu kullanarak BlueNoroff, kurbanı izlemek için diğer kötü amaçlı araçları olan bir keylogger ve ekran görüntüsü alıcısını devreye sokuyor.
Ardından saldırganlar, haftalarca ve aylarca kurbanları takip ediyor.
Finansal hırsızlık için strateji planlarken tuş vuruşlarını topluyor ve kullanıcının günlük işlemlerini izliyor.
Kripto cüzdanlarını yönetmek için popüler bir tarayıcı uzantısı kullanan belirgin bir hedef bulduktan sonra (örneğin Metamask uzantısı gibi), uzantının ana bileşenini sahte bir sürümle değiştiriyor.
Büyük transferleri görebiliyor
Araştırmacılara göre saldırganlar, büyük transferler keşfettiklerinde bir bildirim alıyorlar.
Güvenliği ihlal edilmiş kullanıcı başka bir hesaba bir miktar para aktarmaya çalıştığında işlem sürecini durdurup kendi aracılarını enjekte ediyorlar.
Başlatılan ödemeyi tamamlamak için kullanıcı "onayla" düğmesini tıkladığında, siber suçlular alıcının adresini değiştiriyor ve işlem miktarını en üst düzeye çıkarıyor.
Böylece hesabı tek bir hamlede boşaltıyor.
"Kripto para birimi hizmetlerinin iyi korunması gerekiyor"
Açıklamada görüşlerine yer verilen Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Seongsu Park, saldırganların sürekli olarak başkalarını kandırmak ve istismar etmek için yeni yollar keşfederken, küçük işletmelerin çalışanlarını temel siber güvenlik uygulamaları konusunda eğitmesi gerektiğini belirtti.