Satacom’un son kampanyası, kripto para birimini çalan tarayıcı uzantısını yayıyor

Kaspersky tarafından keşfedilen Chrome, Brave ve Opera tarayıcıları için kötü amaçlı bir uzantı, yeni Satacom kampanyasının bir modülü olarak virüslü sistemlerden kripto para birimleri çalmak için kullanılıyor.

Şirketten yapılan açıklamaya göre yeni kampanyanın, 2019 yılından bu yana aktif olan ve çoğunlukla üçüncü taraf web sitelerine yerleştirilen kötü amaçlı reklamlar aracılığıyla hizmet veren ünlü kötü amaçlı yazılım ailesi Satacom Downloader ile ilgili olduğu belirtiliyor.

Bu amaçla oluşturulan kişiler veya reklamlar, kullanıcıları, Satacom Downloader içeren bir arşiv belgesini indirmeyi teklif eden belge paylaşım hizmetlerini ve diğer kötü niyetli olarak hedeflenmiş sayfaları kandırmaya yönlendirir. Bu son kampanyada, indirilen kötü amaçlı tarayıcı uzantısıdır.

Türkiye bu tehditten en çok etkilenen ülkeler arasında yer almaktadır.

Açıklamada, kampanyanın birincil amacının, hedeflenen kripto para borsası web sitelerine web enjeksiyonları gerçekleştirerek kurbanların hesaplarından Bitcoin (BTC) çalmak olduğu belirtiliyor. Ancak kötü amaçlı yazılımlar, diğer kripto para birimlerini hedef alacak şekilde kolayca değiştirilebilir.

Yazılım, Chrome, Brave ve Opera gibi Chromium tabanlı tarayıcılara bir uzantı yükleyerek dünya genelinde kripto para yatırımcısı olan bireysel kullanıcıları hedeflemeye çalışıyor.

Kaspersky telemetri verileri, Nisan ve Mayıs aylarında yaklaşık 30.000 kişinin kampanya tarafından hedef alınma riski altında olduğunu ortaya koydu. Son 2 ayda bu tehditten en çok etkilenen ülkeler ise Brezilya, Meksika, Cezayir, Türkiye, Hindistan, Vietnam ve Endonezya oldu.

Kötü amaçlı uzantı, kullanıcı hedeflenen kripto para birimi web sitelerine göz atarken tarayıcı manipülasyonları gerçekleştirir. Kampanya Coinbase, Bybit, Kucoin, Huobi ve Binance kullanıcılarını hedefliyor. Uzantı, kripto para birimlerini çalmanın yanı sıra, birincil etkinliğini gizlemek için ek eylemler gerçekleştirir.

“Uzantı Windows, Linux ve macOS platformlarını hedefleyebilir”

Bu kampanyada, tehdit aktörlerinin teslimat için Satacom indiricisini kullandıkları için resmi uzantı mağazalarına gizlice girmenin yollarını bulmaları gerekmiyor. İlk bulaşma, kullanıcının indirmek istediği yazılımı (genellikle kırılmış sürümler) ücretsiz olarak indirmesine izin veren yazılım portallarını taklit eden bir web sitesinden indirilen bir ZIP arşiv dosyasıyla başlar.

Satacom genellikle çeşitli ikili belgeleri kişinin makinesine indirir. Son kampanyada Kaspersky araştırmacıları, aralarında boşa harcanan tarayıcı uzantısının kurulumunu gerçekleştiren bir PowerShell komut dosyası gözlemlediler.

Ardından, bir dizi kötü niyetli eylem, kullanıcı internette gezinirken uzantının gizlice çalışmasını sağlar. Sonuç olarak, tehdit aktörleri web enjeksiyonlarını kullanarak Bitcoin’i kurbanın cüzdanından kendi cüzdanlarına aktarabilir.

Açıklamada görüşlerine yer verilen Kaspersky Kötü Amaçlı Yazılım Analisti Haim Zigel, siber hataların uzantıyı komut dosyası değişiklikleri yoluyla kontrol etme yeteneği ekleyerek iyileştirdiğini belirterek, “Bu, diğer kripto para birimlerini kolayca hedeflemeye başlayabilecekleri anlamına geliyor. Üstelik uzantı tarayıcı tabanlı olduğu için Windows, Linux ve macOS platformlarını hedef alabiliyor. Önlem olarak, kullanıcıların herhangi bir şüpheli etkinlik için çevrimiçi hesaplarını düzenli olarak kontrol etmelerini ve kendilerini bu tür tehditlerden korumak için güvenilir güvenlik çözümleri kullanmalarını öneriyoruz.” ifadelerini kullandı.

Kötü amaçlı yazılımların ayrıntılı teknik analizi “Securelist”te bulunabilir.

Kaspersky uzmanlarından tavsiyeler

Kaspersky uzmanları, kripto para birimlerini çalmadan işlemi sadakatle yapmak için tekliflerde bulundu.

Kaspersky uzmanları, kimlik avı dolandırıcılığına karşı dikkatli olunması gerektiğini vurguluyor. Dolandırıcıların giriş bilgilerini veya özel anahtarlarını ifşa etmek amacıyla insanları kandırmak için sıklıkla oltalama e-postaları veya sahte web siteleri kullandıklarını belirten uzmanlar, web sitesi adresinin her zaman iki kez kontrol edilmesi ve şüpheli kişilerin açılmaması gerektiği konusunda uyarıda bulunuyor.

Özel anahtarların paylaşılmaması gerektiğini belirten uzmanlar, özel anahtarların kripto para cüzdanlarının kilidini açmasını, gizli tutulması ve asla kimseye verilmemesi gerektiğini belirtiyor.

Ayrıca kripto para birimlerini inançlı tutabilmek için en son siber tehditler ve en iyi uygulamalardan haberdar olmak gerektiğini ve herkesin bu konuda kendini eğitmesi gerektiğini belirtiyor.

Uzmanlar, yatırım yapmadan önce araştırma yapmayı, herhangi bir kripto para birimine yatırım yapmadan önce projeyi ve arkasındaki ekibi yeterince araştırmayı öneriyor.

Projenin yasal olduğundan emin olmak için projenin web sitesi, whitepaper ve sosyal medya kanallarının denetlendiğini kaydeden uzmanlar, güçlü güvenlik çözümlerinin kullanılmaması konusunda uyarıda bulunuyor.

Güvenilir bir çözümün cihazları çeşitli tehdit türlerinden koruyacağını belirten uzmanlar, Kaspersky Premium’un bilinen ve bilinmeyen tüm kripto para dolandırıcılıklarının yanı sıra bilgisayarın işlem gücünün yetkisiz kişiler tarafından kripto para madenciliği yapmak için kullanılmasını önlediğini belirtiyor.