Google akıllı sözleşmelere gizlenip kripto çalan ‘EtherHiding’i ifşa etti

Google’ın Tehdit İstihbarat Grubu’na göre, Kuzey Koreli bilgisayar korsanları, halka açık blockchain ağlarındaki akıllı sözleşmelere kötü amaçlı kod yerleştirerek kripto para ve hassas bilgileri çalmak için tasarlanmış kötü amaçlı yazılımlar dağıtma yöntemini benimsedi.

“EtherHiding” olarak adlandırılan bu teknik, 2023’te ortaya çıktı ve genellikle sahte iş teklifleri ve yüksek profilli röportajlarla kurbanlara ulaşmak, kullanıcıları kötü amaçlı web sitelerine veya bağlantılara yönlendirmek gibi sosyal mühendislik teknikleriyle birlikte kullanılıyor, dedi Google.

Korsanlar, bir Yükleyici Komut Dosyası (Loader Script) aracılığıyla yasal bir web sitesi adresinin kontrolünü ele geçiriyor ve siteye JavaScript kodu yerleştiriyor. Bu kod, kullanıcı tehlikeli siteyle etkileşime girdiğinde, fonları ve verileri çalmak için tasarlanmış bir akıllı sözleşme içindeki ayrı bir kötü amaçlı kod paketini tetikliyor.

Google araştırmacılarına göre, ele geçirilmiş web sitesi, defter üzerinde aslında bir işlem oluşturmayan bir “salt okunur” işlev kullanarak blockchain ağıyla iletişim kuruyor. Bu sayede saldırganlar tespit edilmekten kaçınabiliyor ve işlem ücretlerini en aza indiriyor.

Raporda, kripto topluluğunun, bireyler ve kurumların fonlarını ve değerli bilgilerini çalmak isteyen kötü niyetli aktörler tarafından yaygın olarak kullanılan dolandırıcılıklar ve saldırılara karşı dikkatli olması gerektiği vurgulandı.

Belirtileri tanıyın: Kuzey Kore sosyal mühendislik kampanyası deşifre edildi

Google’a göre, kötü niyetli aktörler yazılım ve kripto para geliştiricilerini sahte iş teklifleriyle hedef almak için sahte şirketler, işe alım ajansları ve profiller oluşturuyor.

İlk temasın ardından saldırganlar iletişimi Discord veya Telegram gibi mesajlaşma platformlarına taşıyor ve kurbandan bir işe alım testi yapmasını veya bir kodlama görevi tamamlamasını istiyor.

“Google Tehdit İstihbaratı,” saldırının merkezinin teknik değerlendirme aşamasında gerçekleştiğini söyledi. Bu aşamada, kurbana genellikle kötü amaçlı yükün depolandığı GitHub gibi çevrim içi kod depolarından kötü amaçlı dosyalar indirmesi söyleniyor.

Diğer durumlarda saldırganlar, kurbanı bir video görüşmesine çekiyor ve kullanıcıya sahte bir hata mesajı göstererek hatayı düzeltmek için bir yama indirmesini istiyor. Bu yazılım yamaları da kötü amaçlı kod içeriyor.

Kötü amaçlı yazılım bir cihaza yüklendiğinde, “JADESNOW” adlı ikinci aşama JavaScript tabanlı kötü amaçlı yazılım devreye girerek hassas verileri çalıyor.

Google, yüksek değerli hedefler için bazen üçüncü bir aşamanın devreye sokulduğunu ve bunun saldırganlara ele geçirilmiş cihazlara ve bunların bağlı olduğu diğer sistemlere uzun vadeli erişim sağladığını belirtti.