Kaspersky, Lazarus Gelişmiş Kalıcı Tehdit (APT) grubu tarafından dünya çapındaki kripto para yatırımcılarını hedef alan sofistike kötü amaçlı saldırı kampanyasını ortaya çıkardı.
Şirketten yapılan açıklamaya göre, saldırganlar, casus yazılım yüklemek ve cüzdan kimlik bilgilerini çalmak için Google Chrome'daki sıfırıncı gün açığından yararlanan sahte bir kripto oyunu web sitesi kullandılar. Bulgular, Güvenlik Analistleri Zirvesi 2024'te paylaşıldı.
Mayıs 2024'te Kaspersky uzmanları, Kaspersky Security Network telemetrisindeki olayları analiz ederken, 2013'ten beri Lazarus grubu tarafından kullanılan ve Kaspersky'nin Global Araştırma ve Analiz Ekibi (GReAT) tarafından çeşitli sektörleri hedef alan 50'den fazla benzersiz kampanyada belgelenen Manuscrypt kötü amaçlı yazılımını kullanan bir saldırı tespit etti.
Yapılan detaylı analizler, kripto para yatırımcılarını hedef almak için sosyal mühendislik tekniklerine ve üretken yapay zekaya büyük ölçüde dayanan sofistike bir kötü amaçlı kampanyayı ortaya çıkardı.
Kaspersky araştırmacıları, tehdit aktörünün Google'ın açık kaynaklı JavaScript ve WebAssembly motoru V8'de daha önce bilinmeyen bir hata da dahil olmak üzere iki güvenlik açığından yararlandığını tespit etti.
Saldırganlar bu güvenlik açığından yararlanarak kullanıcıları NFT tanklarıyla küresel çapta rekabet etmeye davet eden, özenle tasarlanmış sahte bir oyun web sitesine çektiler. Kampanyanın etkinliğini en üst düzeye çıkarmak için güven duygusu oluşturmaya odaklandılar ve tanıtım faaliyetlerinin mümkün olduğunca gerçek görünmesini sağlayacak ayrıntılar tasarladılar.
Saldırganlar ayrıca daha fazla tanıtım için kripto para içerik üreticilerini devreye sokmaya çalıştı. Sosyal medyadaki varlıklarını yalnızca tehdidi yaymak için değil, aynı zamanda doğrudan kripto hesaplarını hedef almak için de kullandılar.
Kaspersky GReAT Baş Güvenlik Uzmanı Boris Larin, saldırganların, hedeflenen sistemlere virüs bulaştırmak için tamamen işlevsel bir oyunu kılıf olarak kullanarak tipik taktiklerin ötesine geçtiğini belirtti.
Larin, "Lazarus gibi saldırı aktörleri söz konusu olduğunda, sosyal ağdaki ya da e-postadaki bir bağlantıya tıklamak gibi zararsız görünen eylemler bile kişisel bir bilgisayarın ya da tüm bir kurumsal ağın tamamen ele geçirilmesine neden olabilir. Bu kampanyaya harcanan önemli çaba, planların son derece iddialı olduğunu gösteriyor. Saldırının gerçekteki etkisi çok daha geniş olabilir, potansiyel olarak dünya çapındaki kullanıcıları ve işletmeleri etkileyebilir." ifadelerini kullandı.
