Siber güvenlik şirketi ESET, son günlerin tanınan kripto para ünitelerinden SafeMoon’un geçersiz bir uygulaması ile ilgili ikazlarda bulundu. Düzmece uygulama aracılığıyla siber hatalılar web kamerasını ele geçirerek kullanıcıları gözetleyebiliyor, kullanıcıların parolalarını çalabiliyor.
En yeni altcoinlerden biri olan SafeMoon altı ay evvel süreç görmeye başladı. Toplumsal medya fenomenleri ve fazlaca sayıda fanatiğin tetiklediği çılgınlıkla birlikte SafeMoon çok tanınan hale geldi. Siber dolandırıcılar da bu popülerliği kullanmakta geç kalmadılar.
ESET uzmanlarının paylaştığı bilgilere bakılırsa dolandırıcılar SafeMoon üzerinden bir aldatmaca planlayarak, Discord kullanıcılarını tanınmış bir uzaktan erişim aracı (RAT) dağıtan bir web sitesine yönlendirmek için düzmece bir uygulama güncellemesi kullanıyorlar.
Oltaya düşürmek için geçersiz bir bildiri gönderiyorlar
SafeMoon’un popülerliğinden yararlanan numara, dolandırıcıların Discord’daki kimi kullanıcılara gönderdikleri ve uygulamanın yeni sürümünü tanıtmak için Discord üzerinde resmi SafeMoon hesabı üzere davrandıkları bir bildiriyle başlıyor. Bildirideki linki tıklayanlar kendilerini SafeMoon’un resmi sitesinin bir kısmı üzere görünen web sitesinde buluyor. Birinci defa Ağustos 2021’de bir Reddit kullanıcısı tarafınca rapor edilen alan ismi, sona eklenen ekstra bir harf haricinde, yasal kopyasını taklit ediyor. En değerli irtibat (kullanıcıdan Google Play Store’dan “resmi” SafeMoon uygulamasını indirmesini isteyen bağlantı) haricinde, sitedeki tüm dış ilişkiler yasal. Android aygıtlar için SafeMoon uygulamasının yerine, hem yasal birebir vakitte makûs gayelerle kullanabilen, pek yaygın ve kullanıma hazır bir Windows yazılımı içeren bir yük indiriyor.
Makus emelli yazılımın ziyanlı seyahati
Yürütüldükten daha sonra, yükleyici (Safemoon-App-v2.0.6.exe) Remcos isimli bir RAT de dahil olmak üzere, sisteme epey sayıda belge bırakıyor. Yasal araç olarak tanıtılsa da, araç kullanıma sunulduktan kısa mühlet daha sonra ABD’deki yetkililer tarafınca hakkında resmi ihtar yapılan bu RAT de yer altı forumlarında el altından satışa sunuluyor. Makûs maksatlarla kullanılırsa RAT’in genelde ‘remote access trojan’ın (uzaktan erişim truva atı) kısaltması olduğu düşünülüyor.
RAT’lerde alışılmış olduğu üzere, Remcos saldırgana kurbanın bilgisayarında bir art kapı veriyor ve bu kapı kurbandan hassas bilgileri toplamak için kullanılıyor. Bu IP adresi indirilen belgelere eklenen bir komuta ve denetim (C&C) sunucusu tarafınca çalıştırılıyor. Remcos’un yapabildiklerinin içinde çeşitli web tarayıcılarından oturum açma ayrıntılarını çalma, basılan tuşları kaydetme, web kamerasını ele geçirme, kurbanın mikrofonundan ses yakalama, ek makus emelli yazılım indirme ve bunu makinede yürütme yer alıyor.
Kendinizi nasıl koruyabilirsiniz?
En yeni altcoinlerden biri olan SafeMoon altı ay evvel süreç görmeye başladı. Toplumsal medya fenomenleri ve fazlaca sayıda fanatiğin tetiklediği çılgınlıkla birlikte SafeMoon çok tanınan hale geldi. Siber dolandırıcılar da bu popülerliği kullanmakta geç kalmadılar.
ESET uzmanlarının paylaştığı bilgilere bakılırsa dolandırıcılar SafeMoon üzerinden bir aldatmaca planlayarak, Discord kullanıcılarını tanınmış bir uzaktan erişim aracı (RAT) dağıtan bir web sitesine yönlendirmek için düzmece bir uygulama güncellemesi kullanıyorlar.
Oltaya düşürmek için geçersiz bir bildiri gönderiyorlar
SafeMoon’un popülerliğinden yararlanan numara, dolandırıcıların Discord’daki kimi kullanıcılara gönderdikleri ve uygulamanın yeni sürümünü tanıtmak için Discord üzerinde resmi SafeMoon hesabı üzere davrandıkları bir bildiriyle başlıyor. Bildirideki linki tıklayanlar kendilerini SafeMoon’un resmi sitesinin bir kısmı üzere görünen web sitesinde buluyor. Birinci defa Ağustos 2021’de bir Reddit kullanıcısı tarafınca rapor edilen alan ismi, sona eklenen ekstra bir harf haricinde, yasal kopyasını taklit ediyor. En değerli irtibat (kullanıcıdan Google Play Store’dan “resmi” SafeMoon uygulamasını indirmesini isteyen bağlantı) haricinde, sitedeki tüm dış ilişkiler yasal. Android aygıtlar için SafeMoon uygulamasının yerine, hem yasal birebir vakitte makûs gayelerle kullanabilen, pek yaygın ve kullanıma hazır bir Windows yazılımı içeren bir yük indiriyor.
Makus emelli yazılımın ziyanlı seyahati
Yürütüldükten daha sonra, yükleyici (Safemoon-App-v2.0.6.exe) Remcos isimli bir RAT de dahil olmak üzere, sisteme epey sayıda belge bırakıyor. Yasal araç olarak tanıtılsa da, araç kullanıma sunulduktan kısa mühlet daha sonra ABD’deki yetkililer tarafınca hakkında resmi ihtar yapılan bu RAT de yer altı forumlarında el altından satışa sunuluyor. Makûs maksatlarla kullanılırsa RAT’in genelde ‘remote access trojan’ın (uzaktan erişim truva atı) kısaltması olduğu düşünülüyor.
RAT’lerde alışılmış olduğu üzere, Remcos saldırgana kurbanın bilgisayarında bir art kapı veriyor ve bu kapı kurbandan hassas bilgileri toplamak için kullanılıyor. Bu IP adresi indirilen belgelere eklenen bir komuta ve denetim (C&C) sunucusu tarafınca çalıştırılıyor. Remcos’un yapabildiklerinin içinde çeşitli web tarayıcılarından oturum açma ayrıntılarını çalma, basılan tuşları kaydetme, web kamerasını ele geçirme, kurbanın mikrofonundan ses yakalama, ek makus emelli yazılım indirme ve bunu makinede yürütme yer alıyor.
Kendinizi nasıl koruyabilirsiniz?
- İster e-posta, toplumsal medya, kısa ileti yahut öbür kanallardan gelsin, bir anda ortaya çıkan mesajlara karşı dikkatli olun.
- Bilhassa doğrulanmamış bir kaynaktan geliyorsa, bu üzere bildirilerdeki linklere tıklamayın.
- URL’lerdeki düzensizliklere dikkat edin. Adresleri kendiniz yazın.
- kuvvetli ve eşsiz parolalar, parola tabirleri ve mümkün olduğunda 2 faktörlü kimlik doğrulaması (2FA) kullanın
- Kapsamlı bir güvenlik yazılımı kullanın