• BITCOIN/TL
    3335211,514
    % 0,80
  • ETHEREUM/TL
    118898
    % 1,49
  • RIPPLE/TL
    76.56
    % 1,55
  • BITCOIN CASH/TL
    15761.97,385
    % 1,71
  • LITECOIN/TL
    3512.06
    % -0,39
  • COSMOS HUB/TL
    230.78
    % 1,92
  • CARDANO/TL
    31.05
    % 1,27
  • TETHER/TL
    35.08
    % 0,10

Sahte Zoom Bağlantısı Kripto Kullanıcılarını Hedef Alıyor, Milyonlarca Dolarlık Hırsızlığa Yol Açıyor: SlowMist Uyardı

Blockchain güvenlik firması SlowMist tarafından hazırlanan ayrıntılı bir rapor, sahte Zoom toplantı bağlantısı olarak gizlenen karmaşık bir kimlik avı saldırısının, milyonlarca değerindeki kripto varlıklarını çaldığını ortaya koyuyor.

İlk olarak 14 Kasım 2024’te tanımlanan dolandırıcılık, meşru Zoom arayüzünü taklit eden bağlantılar aracılığıyla kötü amaçlı yazılım dağıtarak kullanıcıları hedef alıyor.

Derinlere indikten sonra bu kimlik avı kampanyasının Rusça konuşan bilgisayar korsanlarıyla bağlantılı olduğu ortaya çıktı. Çalınan fonlar Binance, Gate.io ve Bybit dahil olmak üzere çeşitli kripto platformlarında takip edildi.

Kimlik Avı Şeması: Bilgisayar Korsanları Kripto Çalmak İçin Sahte Yakınlaştırmayı Nasıl Kullanıyor?

SlowMist’in araştırması saldırganların alan adını kullandığını ortaya çıkardı ” app[.]us4zoom[.]bizeZoom’un resmi web adresini taklit etmek için.

Kimlik avı sitesi, meşru Zoom toplantı arayüzünü yakından yansıtıyor ve kullanıcıları “Toplantıyı Başlat” düğmesine tıklamaları için kandırıyordu.

Fake Zoom Link Targets Crypto Users, Leads to Multi-Million Dollar Theft: SlowMist Warns
Kaynak: SlowMist

Ancak site, bir toplantı başlatmak yerine “ZoomApp_v.3.14.dmg” adlı kötü amaçlı bir paket indirdi.

Bu paket yürütüldükten sonra kullanıcılardan sistem şifrelerini girmelerini isteyerek kötü amaçlı yazılıma yükseltilmiş izinler verdi.

Daha ayrıntılı bir analizin ardından SlowMist, kurulum paketine gömülü olan “.ZoomApp” adlı gizli bir yürütülebilir dosyayı ortaya çıkardı.

Fake Zoom Link Targets Crypto Users, Leads to Multi-Million Dollar Theft: SlowMist Warns
Kaynak: SlowMist

Bu dosya bir Truva atı görevi görerek sistem bilgileri, tarayıcı çerezleri, kripto para birimi cüzdan verileri ve KeyChain şifreleri dahil olmak üzere hassas kullanıcı verilerini topluyor.

Toplanan bilgiler daha sonra bilgisayar korsanları tarafından kontrol edilen bir sunucuya iletildi ve IP adresi olan 141.98.9.20’nin Hollanda’ya kadar takip edildiği görüldü.

Tehdit istihbaratı hizmetleri bu IP’yi kötü amaçlı olarak işaretledi.

Kötü amaçlı yazılım, macOS güvenlik önlemlerini atlatmak için osascript komut dosyaları kullanarak saldırganların cüzdandaki anımsatıcı ifadeleri ve özel anahtarları çalmasına olanak tanıdı.

Bu, kurbanların kripto varlıklarına yetkisiz erişimi mümkün kıldı.

Ayrıca saldırganlar, sosyal mühendislik taktikleri kullanarak ve güvenilir yazılımlardan yararlanarak geleneksel güvenlik savunmalarını aştı.

Çalınan Fonların İzini Sürmek: Hacker’ın İzini Keşfettik

SlowMist, çalınan varlıkların hareketini izlemek için zincir üstü izleme aracı MistTrack’ı kullandı.

Soruşturmada bir hacker adresi tespit edildi. 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac1 milyon doların üzerinde kar elde ediyor.

Çalınan varlıklar arasında USD0++ ve MORPHO tokenları da vardı ve bunlar daha sonra 296 ETH ile takas edildi.

Bilgisayar korsanının adresi şu adresten küçük Ethereum transferleri aldı: 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2eKimlik avı operasyonları için işlem ücreti sağladığından şüphelenilen bir adres.

Bu adres, yaklaşık 8.800 başka adrese küçük miktarlarda ETH dağıttı ve bu da bunun bir işlem ücreti platformu olabileceğini düşündürüyor.

Daha ileri analizler, çalınan fonların bir kısmının ChangeNOW ve MEXC dahil olmak üzere merkezi borsalara aktarıldığını, 296,45 ETH’nin ise yeni bir adrese aktarıldığını ortaya çıkardı. 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.

Bu adres, mevcut bakiyesi 32,81 ETH olan, farklı blockchainlerde birden fazla işlem gerçekleştirdi.

Geri kalan fonlar Bybit, Cryptomus.com ve Swapspace gibi platformlara dağıtıldı.

Özellikle, bu aktarımlardan bazıları MistTrack tarafından bilinen kimlik avı varlıkları “Angel Drainer” ve “Theft” ile bağlantılı olarak işaretlenen adresleri içeriyordu.

Sonuç olarak Slowmist, kullanıcılara dikkatli olmalarını ve tıklamadan önce toplantı bağlantılarını doğrulamalarını tavsiye ediyor.

Temel öneriler şunları içerir:

  • Doğrulanmamış kaynaklardan yazılım indirmekten kaçının.
  • Antivirüs ve kötü amaçlı yazılım önleme yazılımlarını düzenli olarak güncelleyin.
  • Bilinmeyen uygulamalar için sistem şifrelerini girmekten kaçının.
  • M-cüzdan etkinliğini izleyin ve mümkün olan her yerde iki faktörlü kimlik doğrulamayı (2FA) etkinleştirin.

Benzer bir koordineli saldırının bu ayın başlarında rapor edilmesi dikkat çekicidir. Rapor, Web3 çalışanlarının, hassas bilgileri ve kripto varlıklarını çalmak için sahte toplantı uygulamaları kullanan karmaşık bir kimlik avı kampanyası tarafından hedef alındığını belirtti.

Saldırganlar, Meeten ve Meetio gibi hayali şirketlerin güvenilir görünmesi için gerçekçi web siteleri, bloglar ve sosyal medya profilleri oluşturmak amacıyla yapay zekadan yararlanıyor.

Kurbanlar, profesyonel araçlar veya iş fırsatları gibi görünen kötü amaçlı yazılım bulaşmış uygulamaları indirmeye yönlendiriliyor.

Realst bilgi hırsızı olarak bilinen kötü amaçlı yazılım, macOS ve Windows cihazlarını etkiliyor ve kimlik bilgilerini, finansal verileri ve kripto cüzdan bilgilerini çıkarıyor.