Muhendis
New member
Siber güvenlik şirketi ESET, son günlerin tanınan kripto para ünitelerinden SafeMoon’un uydurma bir uygulaması ile ilgili ihtarlarda bulundu. Geçersiz uygulama aracılığıyla siber hatalılar web kamerasını ele geçirerek kullanıcıları gözetleyebiliyor, kullanıcıların parolalarını çalabiliyor.
En yeni altcoinlerden biri olan SafeMoon altı ay evvel süreç görmeye başladı. Toplumsal medya fenomenleri ve epeyce sayıda fanatiğin tetiklediği çılgınlıkla birlikte SafeMoon çok tanınan hale geldi. Siber dolandırıcılar da bu popülerliği kullanmakta geç kalmadılar.
ESET uzmanlarının paylaştığı bilgilere nazaran dolandırıcılar SafeMoon üzerinden bir aldatmaca planlayarak, Discord kullanıcılarını tanınmış bir uzaktan erişim aracı (RAT) dağıtan bir web sitesine yönlendirmek için düzmece bir uygulama güncellemesi kullanıyorlar.
Oltaya düşürmek için uydurma bir bildiri gönderiyorlar
SafeMoon’un popülerliğinden yararlanan numara, dolandırıcıların Discord’daki birtakım kullanıcılara gönderdikleri ve uygulamanın yeni sürümünü tanıtmak için Discord üzerinde resmi SafeMoon hesabı üzere davrandıkları bir bildiriyle başlıyor. Bildirideki linki tıklayanlar kendilerini SafeMoon’un resmi sitesinin bir kısmı üzere görünen web sitesinde buluyor. Birinci defa Ağustos 2021’de bir Reddit kullanıcısı tarafınca rapor edilen alan ismi, sona eklenen ekstra bir harf haricinde, yasal kopyasını taklit ediyor. En kıymetli irtibat (kullanıcıdan Google Play Store’dan “resmi” SafeMoon uygulamasını indirmesini isteyen bağlantı) haricinde, sitedeki tüm dış temaslar yasal. Android aygıtlar için SafeMoon uygulamasının yerine, hem yasal birebir vakitte makus hedeflerle kullanabilen, pek yaygın ve kullanıma hazır bir Windows yazılımı içeren bir yük indiriyor.
Makus hedefli yazılımın ziyanlı seyahati
Yürütüldükten daha sonra, yükleyici (Safemoon-App-v2.0.6.exe) Remcos isimli bir RAT de dahil olmak üzere, sisteme fazlaca sayıda belge bırakıyor. Yasal araç olarak tanıtılsa da, araç kullanıma sunulduktan kısa müddet daha sonra ABD’deki yetkililer tarafınca hakkında resmi ikaz yapılan bu RAT de yer altı forumlarında el altından satışa sunuluyor. Berbat emellerle kullanılırsa RAT’in genelde ‘remote access trojan’ın (uzaktan erişim truva atı) kısaltması olduğu düşünülüyor.
RAT’lerde alışılmış olduğu üzere, Remcos saldırgana kurbanın bilgisayarında bir art kapı veriyor ve bu kapı kurbandan hassas bilgileri toplamak için kullanılıyor. Bu IP adresi indirilen belgelere eklenen bir komuta ve denetim (C&C) sunucusu tarafınca çalıştırılıyor. Remcos’un yapabildiklerinin içinde çeşitli web tarayıcılarından oturum açma ayrıntılarını çalma, basılan tuşları kaydetme, web kamerasını ele geçirme, kurbanın mikrofonundan ses yakalama, ek makus hedefli yazılım indirme ve bunu makinede yürütme yer alıyor.
Kendinizi nasıl koruyabilirsiniz?
İster e-posta, toplumsal medya, kısa bildiri yahut öteki kanallardan gelsin, bir anda ortaya çıkan mesajlara karşı dikkatli olun.
Bilhassa doğrulanmamış bir kaynaktan geliyorsa, bu üzere bildirilerdeki linklere tıklamayın.
URL’lerdeki düzensizliklere dikkat edin. Adresleri kendiniz yazın.
kuvvetli ve eşsiz parolalar, parola sözleri ve mümkün olduğunda 2 faktörlü kimlik doğrulaması (2FA) kullanın
Kapsamlı bir güvenlik yazılımı kullanın
Hibya Haber Ajansı
En yeni altcoinlerden biri olan SafeMoon altı ay evvel süreç görmeye başladı. Toplumsal medya fenomenleri ve epeyce sayıda fanatiğin tetiklediği çılgınlıkla birlikte SafeMoon çok tanınan hale geldi. Siber dolandırıcılar da bu popülerliği kullanmakta geç kalmadılar.
ESET uzmanlarının paylaştığı bilgilere nazaran dolandırıcılar SafeMoon üzerinden bir aldatmaca planlayarak, Discord kullanıcılarını tanınmış bir uzaktan erişim aracı (RAT) dağıtan bir web sitesine yönlendirmek için düzmece bir uygulama güncellemesi kullanıyorlar.
Oltaya düşürmek için uydurma bir bildiri gönderiyorlar
SafeMoon’un popülerliğinden yararlanan numara, dolandırıcıların Discord’daki birtakım kullanıcılara gönderdikleri ve uygulamanın yeni sürümünü tanıtmak için Discord üzerinde resmi SafeMoon hesabı üzere davrandıkları bir bildiriyle başlıyor. Bildirideki linki tıklayanlar kendilerini SafeMoon’un resmi sitesinin bir kısmı üzere görünen web sitesinde buluyor. Birinci defa Ağustos 2021’de bir Reddit kullanıcısı tarafınca rapor edilen alan ismi, sona eklenen ekstra bir harf haricinde, yasal kopyasını taklit ediyor. En kıymetli irtibat (kullanıcıdan Google Play Store’dan “resmi” SafeMoon uygulamasını indirmesini isteyen bağlantı) haricinde, sitedeki tüm dış temaslar yasal. Android aygıtlar için SafeMoon uygulamasının yerine, hem yasal birebir vakitte makus hedeflerle kullanabilen, pek yaygın ve kullanıma hazır bir Windows yazılımı içeren bir yük indiriyor.
Makus hedefli yazılımın ziyanlı seyahati
Yürütüldükten daha sonra, yükleyici (Safemoon-App-v2.0.6.exe) Remcos isimli bir RAT de dahil olmak üzere, sisteme fazlaca sayıda belge bırakıyor. Yasal araç olarak tanıtılsa da, araç kullanıma sunulduktan kısa müddet daha sonra ABD’deki yetkililer tarafınca hakkında resmi ikaz yapılan bu RAT de yer altı forumlarında el altından satışa sunuluyor. Berbat emellerle kullanılırsa RAT’in genelde ‘remote access trojan’ın (uzaktan erişim truva atı) kısaltması olduğu düşünülüyor.
RAT’lerde alışılmış olduğu üzere, Remcos saldırgana kurbanın bilgisayarında bir art kapı veriyor ve bu kapı kurbandan hassas bilgileri toplamak için kullanılıyor. Bu IP adresi indirilen belgelere eklenen bir komuta ve denetim (C&C) sunucusu tarafınca çalıştırılıyor. Remcos’un yapabildiklerinin içinde çeşitli web tarayıcılarından oturum açma ayrıntılarını çalma, basılan tuşları kaydetme, web kamerasını ele geçirme, kurbanın mikrofonundan ses yakalama, ek makus hedefli yazılım indirme ve bunu makinede yürütme yer alıyor.
Kendinizi nasıl koruyabilirsiniz?
İster e-posta, toplumsal medya, kısa bildiri yahut öteki kanallardan gelsin, bir anda ortaya çıkan mesajlara karşı dikkatli olun.
Bilhassa doğrulanmamış bir kaynaktan geliyorsa, bu üzere bildirilerdeki linklere tıklamayın.
URL’lerdeki düzensizliklere dikkat edin. Adresleri kendiniz yazın.
kuvvetli ve eşsiz parolalar, parola sözleri ve mümkün olduğunda 2 faktörlü kimlik doğrulaması (2FA) kullanın
Kapsamlı bir güvenlik yazılımı kullanın
Hibya Haber Ajansı