Kuzey Koreli siber korsanlardan kripto geliştiricilerini dolandıracak şirket

Kuzey Kore bağlantılı hacker organizasyonu Lazarus’un bir alt grubu, şüphelenmeyen kullanıcılara kötü amaçlı yazılım (malware) göndermek amacıyla, ikisi Amerika Birleşik Devletleri’nde olmak üzere üç paravan şirket kurdu.

Silent Push tehdit analistlerinin 24 Nisan tarihli raporuna göre, BlockNovas, Angeloper Agency ve SoftGlide adlı üç sahte kripto danışmanlık şirketi, Kuzey Koreli hacker grubu Contagious Interview tarafından sahte iş görüşmeleri yoluyla kötü amaçlı yazılım dağıtmak için kullanılıyor.

Silent Push kıdemli tehdit analisti Zach Edwards, 24 Nisan’da X platformunda yaptığı açıklamada, iki paravan şirketin ABD’de yasal işletmeler olarak kayıtlı olduğunu belirtti.

“Bu web siteleri ve işe alım/recruitment platformlarındaki geniş hesap ağı, insanları iş başvurusu yapmaları için kandırmak amacıyla kullanılıyor,” dedi.

“İş başvurusu sürecinde, tanıtım videosu kaydedilmeye çalışılırken bir hata mesajı görüntüleniyor. Çözüm olarak verilen basit bir kopyala-yapıştır işlemi, farkında olmayan geliştiricinin işlemi tamamlaması durumunda kötü amaçlı yazılımın bulaşmasına yol açıyor.”

Silent Push’a göre, BeaverTail, InvisibleFerret ve OtterCookie adlı üç farklı kötü amaçlı yazılım türü kullanılıyor.

BeaverTail, esas olarak bilgi çalmak ve ek kötü amaçlı yazılım aşamalarını yüklemek için tasarlandı. OtterCookie ve InvisibleFerret ise özellikle kripto cüzdan anahtarları ve panoya (clipboard) kopyalanan veriler gibi hassas bilgileri hedef alıyor.

Raporda, hackerların GitHub iş ilanları ve freelancer siteleri başta olmak üzere çeşitli platformlarda kurban aradığı belirtildi.

Sahte çalışanlar için yapay zeka kullanıldı

Bu dolandırıcılık yöntemi kapsamında hackerlar, üç paravan kripto şirketi için çalışan profilleri oluşturmak amacıyla yapay zeka ile üretilmiş görseller ve gerçek kişilere ait çalıntı fotoğraflar kullandı.

“Bu ağda kullanılan çok sayıda sahte çalışan profili ve çalıntı gerçek insan fotoğrafı var. Bazı bariz sahte ve çalıntı görselleri belgeledik, ancak bu kampanyadaki kimlik sahtekarlığı çabalarının farklı olduğunu anlamak önemli,” dedi Edwards.

“Örneğin, tehdit aktörleri gerçek bir kişiye ait bir fotoğrafı aldı ve ardından bunu AI görüntü düzenleme aracıyla biraz değiştirilmiş bir versiyon haline getirdi.”

Bu kötü amaçlı yazılım kampanyası 2024’ten beri devam ediyor. Edwards, bilinen halka açık kurbanlar olduğunu belirtti.

Silent Push, kampanya kapsamında hedef alınan iki geliştiriciyi tespit etti; bunlardan birinin MetaMask cüzdanının ele geçirildiği bildirildi.

FBI, şirketlerden en az birini kapattı.

Edwards, “Federal Soruşturma Bürosu (FBI), BlockNovas alan adını ele geçirdi, ancak SoftGlide ve diğer altyapılarının bir kısmı hala aktif,” dedi.

En az üç kripto kurucusu, mart ayında sahte Zoom görüşmeleri yoluyla hassas verileri çalmak isteyen Kuzey Koreli hackerların girişimini engellediklerini bildirdi.

Lazarus Group gibi gruplar, Bybit’teki 1,4 milyar dolarlık hack saldırısı ve 600 milyon dolarlık Ronin ağı saldırısı dahil olmak üzere Web3’teki en büyük siber hırsızlıkların baş şüphelileri arasında yer alıyor.