X

Satacom'un son kampanyası, kripto para çalan tarayıcı uzantısını yayıyor

Kaspersky Kötü Amaçlı Yazılım Analisti Haim Zigel:
- "Önlem olarak, kullanıcıların çevrim içi hesaplarını herhangi bir şüpheli etkinliğe karşı düzenli olarak kontrol etmelerini ve kendilerini bu gibi tehditlerden korumak için güvenilir güvenlik çözümleri kullanmalarını öneriyoruz"

21.04.2024 - 15:16

İSTANBUL - Kaspersky tarafından keşfedilen ve Chrome, Brave ve Opera tarayıcıları için hazırlanmış kötü amaçlı bir uzantı, yeni Satacom kampanyasının bir parçası olarak bulaştığı sistemlerden kripto para çalmak için kullanılıyor.

Şirketten yapılan açıklamaya göre, yeni kampanyanın 2019'dan beri aktif olan ve çoğunlukla üçüncü parti web sitelerine yerleştirilmiş kötü amaçlı reklamlar aracılığıyla sunulan ünlü kötü amaçlı yazılım ailesi Satacom Downloader ile bağlantısı olduğu belirtiliyor.

Bu amaçla kurgulanan bağlantılar veya reklamlar, kullanıcıları Satacom Downloader içeren bir arşiv dosyasını indirmeyi teklif eden sahte dosya paylaşım hizmetlerine ve diğer kötü amaçlı sayfalara yönlendiriyor. Bu son kampanyada, indirilen şey kötü amaçlı tarayıcı uzantısı oluyor.

- Bu tehditten en çok etkilenen ülkeler arasında Türkiye de var

Açıklamada, kampanyanın öncelikli amacının hedeflenen kripto para borsası web sitelerine yönelik web enjeksiyonları gerçekleştirerek kurbanların hesaplarından Bitcoin (BTC) çalmak olduğu aktarılıyor. Bununla birlikte kötü amaçlı yazılım diğer kripto para birimlerini hedef alacak şekilde kolayca değiştirilebiliyor.

Yazılım, Chrome, Brave ve Opera gibi Chromium tabanlı tarayıcılara bir uzantı yükleyerek dünya genelinde kripto para yatırımcısı olan bireysel kullanıcıları hedeflemeye ve amacına ulaşmaya çalışıyor.

Kaspersky telemetri verileri, nisan ve mayıs aylarında yaklaşık 30 bin kişinin kampanya tarafından hedef alınma riski altında olduğunu ortaya koydu. Son 2 ayda bu tehditten en çok etkilenen ülkeler Brezilya, Meksika, Cezayir, Türkiye, Hindistan, Vietnam ve Endonezya oldu.

Kötü amaçlı uzantı, kullanıcı hedeflenen kripto para birimi web sitelerinde gezinirken tarayıcı manipülasyonları gerçekleştiriyor. Kampanya Coinbase, Bybit, Kucoin, Huobi ve Binance kullanıcılarını hedef alıyor. Uzantı kripto para çalmanın yanı sıra birincil faaliyetini gizlemek için ek eylemler gerçekleştiriyor.

Uzantı, Windows, Linux ve macOS platformlarını hedef alabiliyor

Bu kampanyada tehdit aktörleri teslimat için Satacom indiricisini kullandıklarından, resmi uzantı mağazalarına gizlice girmenin yollarını bulmaya ihtiyaç duymuyor. İlk bulaşma, kullanıcının indirmek istediği yazılımları (genellikle kırılmış sürümlerini) ücretsiz olarak indirmesine izin veren yazılım portallarını taklit eden bir web sitesinden indirilen ZIP arşiv dosyası ile başlıyor.

Satacom genellikle kişinin makinesine çeşitli ikili dosyalar indiriyor. Kaspersky araştırmacıları, son kampanyada bunlar arasında zararlı tarayıcı uzantısının kurulumunu gerçekleştiren bir PowerShell betiği gözlemledi.

Sonrasında bir dizi kötü niyetli eylem, kullanıcı internette gezinirken uzantının gizlice çalışmasını sağlıyor. Sonuç olarak tehdit aktörleri web enjeksiyonlarını kullanarak Bitcoin'i kurbanın cüzdanından kendi cüzdanlarına aktarabilir hale geliyor.

Açıklamada görüşlerine yer verilen Kaspersky Kötü Amaçlı Yazılım Analisti Haim Zigel, siber suçluların uzantıyı komut dosyası değişiklikleri yoluyla kontrol etme yeteneği ekleyerek geliştirdiklerini belirterek, "Bu, diğer kripto para birimlerini de kolayca hedeflemeye başlayabilecekleri anlamına geliyor. Üstelik uzantı tarayıcı tabanlı olduğu için Windows, Linux ve macOS platformlarını hedef alabiliyor. Önlem olarak, kullanıcıların çevrim içi hesaplarını herhangi bir şüpheli etkinliğe karşı düzenli olarak kontrol etmelerini ve kendilerini bu gibi tehditlerden korumak için güvenilir güvenlik çözümleri kullanmalarını öneriyoruz." ifadelerini kullandı.

Kötü amaçlı yazılımın ayrıntılı teknik analizini "Securelist" adresinde bulunabiliyor.

- Kaspersky uzmanlarından öneriler

Kaspersky uzmanları, kripto para birimlerini çaldırmadan güvenli bir şekilde işlem yapılabilmesi için önerilerde bulundu.

Kaspersky uzmanları, kimlik avı dolandırıcılığına karşı dikkatli olunması gerektiğini vurguluyor. Dolandırıcıların genellikle kimlik avı e-postalarını veya sahte web sitelerini kullanarak insanları giriş bilgilerini veya özel anahtarlarını ifşa etmeleri amacıyla kandırma yoluna gittiğini belirten uzmanlar, web sitesinin adresini her zaman iki kez kontrol edilmesi gerektiğini ve şüpheli bağlantıların açılmaması gerektiği konusunda uyarıda bulunuyor.

Özel anahtarların paylaşılmamasını belirten uzmanlar, özel anahtarların kripto para cüzdanlarını kilidini açtığını aktararak, bunların gizli tutulmasını ve asla kimseye verilmemesi gerektiğini ifade ediyor.

Ayrıca, kripto paraları güvende tutmak için en son siber tehditler ve en iyi uygulamalar hakkında bilgi sahibi olunması gerektiği ve bu konuda herkesin kendisini eğitmesi gerektiğini kaydediyor.

Uzmanlar, yatırım yapmadan önce araştırma yapılması, herhangi bir kripto para birimine yatırım yapmadan önce projeyi ve arkasındaki ekibi iyice araştırılması önerisinde bulunuyor.

Projenin yasal olduğundan emin olmak için projenin web sitesinin, teknik incelemesinin ve sosyal medya kanallarının kontrol edilmesine dikkati çeken uzmanlar, güvenilir güvenlik çözümleri kullanılması konusunda uyarıda bulunuyor.

Güvenilir bir çözümün cihazları çeşitli tehdit türlerinden koruyacağını aktaran uzmanlar, Kaspersky Premium'un bilinen ve bilinmeyen tüm kripto para dolandırıcılığının yanı sıra bilgisayarın işlem gücünün kripto para madenciliği yapmak için yetkisiz kişilerce kullanımını da önlediğini kaydediyor.