Sahte 0 Günlük Saldırı E-postaları, Kripto Kullanıcılarını Kötü Amaçlı Kod Çalıştırmaya Yönlendiriyor

Yeni bir dolandırıcılık yöntemi, kripto para kullanıcılarını anında büyük kazançlar vaat ederek paralarını dağıtmaya kandırıyor. Bu dolandırıcılık yöntemi, en iyi kripto para döviz kurlarını bulmak için popüler bir site olan swapzone.io kullanıcılarını hedef alıyor ve kurbanların ekranlarında gördüklerini manipüle eden basit ama etkili bir kod parçası kullanıyor.

Bolster AI'nın Tehdit İstihbarat Laboratuvarı'ndaki araştırma ekibi, yakın zamanda bu güçlü JavaScript tabanlı saldırıyı inceleyerek, bunun iki yaygın insan özelliğini, yani açgözlülüğü ve merakı istismar ettiğini tespit etti.

Hackread.com ile paylaşılan Bolster'ın araştırması , saldırganların iki yönlü bir e-posta stratejisi kullandığını ortaya koyuyor: ücretsiz, anonim platformlardan mesaj göndermek veya "Claytho Developer [email protected] .

Uzmanlar, bu sahte e-postaların Swapzone'un kendi sistemi yerine Emkei's Mailer adlı ücretsiz bir kimlik avı hizmeti aracılığıyla iletildiğini doğruladı. E-postalar, kullanıcıları "0 günlük hata" veya "%100 kâr hilesi" ile cezbediyor.

Aşırı aciliyet yaratmak için, "0 gün açığı"nın bir veya iki gün içinde düzeltileceğini iddia ederek kullanıcıları hızlı davranmaya zorluyorlar. Araştırmacılar, yalnızca 48 saat içinde bu kalıbı izleyen 100'den fazla mesaj tespit etti.

Daha detaylı incelemeler, dolandırıcılığın Nexarmudor adlı bir kullanıcı gibi özel siber suç forumlarında bile gerçekleştiğini gösterdi. darkforums.st adlı temiz ve karanlık bir web platformunda forum üyelerini kandırdığı tespit edildi.

Kurbanlar, tarayıcı adres çubuğuna javascript: ile başlayan tek bir kod satırı yapıştırmalarını söyleyen kısa bir kılavuz içeren kötü amaçlı bir Google Dokümanlar bağlantısına yönlendirilir. Bu, sorunun başlaması için gereken tek şeydir, çünkü bu tür bir kodu yapıştırmak, cihazınızda bir program çalıştırmakla aynıdır ve çoğu kullanıcının genellikle farkında olmadığı bir risktir.

Küçük kod parçacığı çalıştırıldığında, kullanıcıyı görsel olarak kandırarak kurbanın tarayıcı oturumunu kontrol altına alan çok daha büyük ve gizli bir program çalıştırır. Hemen web sitesinin görünümünü değiştirmeye başlar, örneğin kullanıcıya gösterilen getirileri şişirir. "Swapzone.io – ChangeNOW Kar Yöntemi" başlıklı bir kılavuz, normalden yaklaşık %37 daha yüksek ödemeler vaat ediyordu.

Program ayrıca, aciliyet hissi yaratmak için sahte geri sayım sayaçlarıyla "kapalı" ekranlar gibi sahte öğeler de ekliyor. En zararlı kısım ise, kurban işlemi tamamlamaya çalıştığında, gizli kodun, suçlunun kripto cüzdan adresini kullanıcının panosuna sessizce kopyalayarak ödemeyi saldırganın kontrolündeki bir cüzdan adresine yönlendirmesi. Bolster araştırmacıları, farklı kripto para birimleri için hazır bir adres havuzu buldu ve bu da suç operasyonunun iyi organize edildiğini gösteriyor.

Araştırmacılar, ister düzenli bir kripto para kullanıcısı olun ister sadece yatırım yapmayı düşünün, hızlı kâr etme isteğinin herkesi savunmasız bırakabileceğini vurguluyor. Bu nedenle, güvenilir olmayan kaynaklardan gelen JavaScript kod parçacıklarını adres çubuğuna asla yapıştırmamanızı tavsiye ediyorlar.

Raporda, "Bu keşif, sosyal mühendislik taktiklerinin tehdit aktörlerinin kendi alanlarında nasıl yeniden kullanıldığını ortaya koydu ve yeraltı ekosistemlerindeki deneyimli bireylerin bile açgözlülük ve aciliyet söz konusu olduğunda manipülasyona karşı savunmasız olduğunu gösterdi" denildi.