Google'ın Tehdit İstihbarat Grubu'na göre, Kuzey Koreli bilgisayar korsanları, halka açık blockchain ağlarındaki akıllı sözleşmelere kötü amaçlı kod yerleştirerek kripto para birimini ve hassas bilgileri çalmak için tasarlanmış kötü amaçlı yazılım dağıtma yöntemini benimsedi.
Google, “EtherHiding” adı verilen bu tekniğin 2023 yılında ortaya çıktığını ve kullanıcıları kötü amaçlı web sitelerine veya bağlantılara yönlendirerek kurbanlara sahte iş teklifleri ve yüksek profilli röportajlarla ulaşmak gibi sosyal mühendislik teknikleriyle birlikte sıklıkla kullanıldığını söyledi.
Bilgisayar korsanları, bir yükleme komut dosyası aracılığıyla meşru bir web sitesi adresinin kontrolünü ele geçirir ve siteye JavaScript kodu enjekte eder. Bu kod, kullanıcı ele geçirilen siteyle etkileşime girdiğinde fonları ve verileri çalmak için tasarlanmış akıllı bir sözleşme kapsamında ayrı bir kötü amaçlı kod paketini etkinleştirir.
Google araştırmacılarına göre, güvenliği ihlal edilen site, defterde herhangi bir işlem oluşturmayan “salt okunur” bir işlevi kullanarak blockchain ağıyla iletişim kuruyor. Bu şekilde saldırganlar tespit edilmekten kaçınabilir ve işlem ücretlerini en aza indirebilir.
Rapor, kripto topluluğunun, bireylerden ve kurumlardan para ve değerli bilgi çalmak isteyen kötü niyetli aktörler tarafından yaygın olarak kullanılan dolandırıcılık ve saldırılara karşı dikkatli olması gerektiğini vurguluyor.
İşaretleri tanımak: Kuzey Kore'nin sosyal mühendislik kampanyası açığa çıktı
Google'a göre kötü niyetli aktörler, sahte iş teklifleriyle yazılım ve kripto para birimi geliştiricilerini hedef almak için sahte şirketler oluşturuyor, işe alım ajansları ve profiller oluşturuyor.
Saldırganlar, ilk temastan sonra iletişimi Discord veya Telegram gibi mesajlaşma platformlarına taşıyor ve kurbandan bir iş sınavına girmesini veya bir kodlama görevini tamamlamasını istiyor.
“Google Tehdit İstihbaratı”, saldırının özünün teknik değerlendirme aşamasında meydana geldiğini söyledi. Bu aşamada kurbana, kötü amaçlı yükün genellikle depolandığı GitHub gibi çevrimiçi kod depolarından kötü amaçlı dosyaları indirmesi söylenir.
Diğer durumlarda ise saldırganlar kurbanı video görüşmesine çekiyor ve kullanıcıya sahte bir hata mesajı göstererek hatayı düzeltmek için bir yama indirmesini istiyor. Bu yazılım yamaları aynı zamanda kötü amaçlı kod da içerir.
Kötü amaçlı yazılım bir cihaza yüklendikten sonra “JADESNOW” adı verilen ikinci aşama JavaScript tabanlı kötü amaçlı yazılım devreye giriyor ve hassas verileri çalıyor.
Google, yüksek değerli hedefler için bazen saldırganlara güvenliği ihlal edilmiş cihazlara ve bağlı oldukları diğer sistemlere uzun vadeli erişim sağlayan üçüncü bir aşamanın uygulandığını belirtti.