Firefox’ta 150’den Fazla Zararlı Eklentiyle 1 Milyon Dolarlık Kripto Soygunu
Kripto para dünyası, her geçen gün yeni güvenlik tehditleriyle karşı karşıya kalıyor. Son olarak, “GreedyBear” adı verilen bir kampanya, Mozilla Firefox tarayıcı pazarında 150’den fazla zararlı eklenti kullanarak 1 milyon dolarlık dijital varlık çalmayı başardı. Bu zararlı eklentiler, popüler kripto para cüzdanları MetaMask, TronLink, Exodus ve Rabby Wallet gibi uygulamaların kopyaları olarak tasarlanmış.
Koi Security’den araştırmacı Tuval Admoni’nin belirttiğine göre, bu eklentiler, Mozilla tarafından yerleştirilen güvenlik önlemlerini aşmak ve kullanıcıların güvenini suistimal etmek için “Extension Hollowing” adı verilen bir teknik kullanıyor. Bu teknik, ilk incelemeleri geçmek için zararsız gibi görünen eklentiler oluşturarak ve daha sonra bu eklentileri kimse fark etmeden silahlandırarak işliyor.
Saldırganlar, pazar yerinde yayıncı hesabı oluşturuyor, başlangıçta herhangi bir işlevsellik sunmayan zararsız eklentiler yüklüyor, sahte olumlu yorumlarla güvenilirlik illüzyonu yaratıyor ve daha sonra bu eklentilerin iç yapısını zararlı yeteneklerle değiştiriyorlar. Bu sahte eklentiler, kullanıcıların girdiği cüzdan bilgilerini yakalayıp saldırganların kontrolündeki sunuculara aktarıyor.
Bu kampanya, daha önce “Foxy Wallet” adı altında 40’tan fazla zararlı tarayıcı eklentisi yayınlayan saldırganlar tarafından yürütülen bir önceki teşebbüsün bir uzantısı olarak değerlendiriliyor. Bu eklentilerin sayısındaki artış, operasyonun büyüklüğünün arttığını gösteriyor.
Ek olarak, saldırganlar, çeşitli Rus siteleri aracılığıyla zararlı yazılımlar dağıtarak ve hatta fidye yazılımları bile dağıtarak saldırılarını destekliyorlar. GreedyBear aktörleri ayrıca, kullanıcıları cüzdan bilgilerini veya ödeme detaylarını vermeye ikna etmeyi amaçlayan kripto para ürünleri ve hizmetleri gibi görünen dolandırıcılık siteleri kurmuş durumdalar.
Koi Security, bu üç saldırı vektörünü tek bir tehdit aktörüne bağlayabildiğini, çünkü bu çabaların hepsinde kullanılan alan adlarının tek bir IP adresine işaret ettiğini belirtiyor. Bu IP adresi, veri toplama ve yönetimi için bir komuta-kontrol (C2) sunucusu olarak işlev görüyor.
Bu tür saldırılar, diğer tarayıcı pazarlarına da yayılmaya başlamış durumda. Google Chrome için oluşturulan ve aynı C2 sunucusunu ve altta yatan mantığı kullanarak kimlik bilgilerini çalan “Filecoin Wallet” adında bir eklenti keşfedildi.
Bu olaylar, tehdit aktörlerinin saldırıları ölçeklendirmek ve hızlandırmak için giderek daha fazla yapay zeka sistemlerini kötüye kullandıklarını gösteriyor. Koi Security’nin analizi, zararlı yazılım dağıtımı konusunda geniş bir yetenek yelpazesine sahip olduklarını ve gerektiğinde taktiklerini değiştirebileceklerini ortaya koyuyor.
Sonuç olarak, bu kampanya, çap ve kapsam açısından evrimleşmiş durumda; artık çok platformlu bir kimlik ve varlık hırsızlığı kampanyası haline gelmiş durumda ve yüzlerce zararlı yazılım örneği ve dolandırıcılık altyapısıyla destekleniyor.
Bu teknoloji ve saldırı yöntemleri hakkında siz ne düşünüyorsunuz? Kripto para güvenliğinizi sağlamak için hangi önlemleri alıyorsunuz? Deneyimlerinizi ve önerilerinizi bizimle paylaşır mısınız ?
