Rus Hackerlar Sahte İş İlanlarıyla Kripto Cüzdanlarını Boşaltıyor

Siber güvenlik araştırmacıları, Rus hacker grubu Crazy Evil’in sahte iş ilanları aracılığıyla kötü amaçlı bir yazılım yayarak kripto para cüzdanlarını boşalttığını tespit etti.

Mağdurların GrassCall adlı bu kötü amaçlı bir yazılımın çalıştırılabilmesi için Telegram üzerinden gönderilen kodun girilmesi isteniyor.

Siber zorbalar, her geçen gün yeni sosyal mühendislik taktikleri geliştiriyor. Crazy Evil adlı Rus hacker grubu da oluşturdukları sahte iş ilanlarıyla kripto para topluluğunu hedef alıyor.

“ChainSeeker.io” Adlı Sahte Şirket Adı Kullanıldı

Crazy Evil, ChainSeeker.io adında sahte bir şirket kurarak LinkedIn, CryptoJobList ve WellFound gibi platformlarda iş ilanları yayımladı.

Oluşturulan iş ilanınlarına başvuran kişilere Telegram ve e-posta yoluyla ulaşıldı ve Telegram üzerinden şirketin pazarlama yöneticisiyle iletişime geçmeleri istendi. Bu aşamadan sonra kullanıcılardan görüşmeye katılabilmeleri için GrasCall adlı kötü amaçlı video konferans uygulamasını indirmeleri istendi. Bu uygulamayı indiren Windows ve Mac kullanıcılarının cihazlarına kötü amaçlı yazılımları yükledi.

GrassCall Kötü Amaçlı Yazılımı Nasıl Çalışıyor?

GrassCall uygulamasını indiren kurbanlar, uygulamayı çalıştırabilmek için Telegram üzerinden verilen bir kodu girmeye zorlandı.

Windows kullanıcıları için Rhadamanthys gibi bilgi çalan yazılımlar ve uzaktan erişim truva atları (RAT) yüklendi. Mac kullanıcıları içinse Atomic (AMOS) Stealer adlı kötü amaçlı yazılım cihaza sızdı.

Bu yazılımlar, tarayıcılardaki şifreleri, kimlik doğrulama çerezlerini ve kripto cüzdan bilgilerini ele geçirerek siber saldırganların sunucularına yüklüyor. Cüzdan bilgileri ele geçirilen kullanıcıların varlıkları brute-force (şifre kırma) saldırılarıyla boşaltılıyor.

Hackerlar Kazançlarını Paylaşıyor

Crazy Evil’in ele geçirdikleri kripto paraların bir kısmını, GrassCall uygulamasının indirilmesine aracılık eden diğer hacker’lara da ödül olarak dağıttığı belirlendi. Crazy Evil’in Telegram kanallarında yer alan bilgilere göre saldırılardan on binlerce dolar kazanıldığına dair mesajlar yer alıyor.

Kurbanlar ise iş ilanlarının gerçekçi göründüğünü ve çok profesyonelce hazırlandığını belirtiyor. LinkedIn kullanıcısı Cristian Ghita, sahte iş ilanıyla ilgili deneyimini şu şekilde anlattı:

“Her açıdan gerçekçi görünüyordu. Hatta video konferans uygulaması bile profesyonel bir imaja sahipti.”

Hackerlar Yeni Yöntemler Deniyor

Siber güvenlik araştırmacıları, GrassCall saldırısının ardından hackerların şimdi de VibeCall adlı başka bir sahte uygulamayı yaymaya başladığını tespit etti.

Geçmişte Kevland adlı bir hacker grubu da aynı yöntemle Gatherum adlı kötü amaçlı yazılımı yaymıştı. VibeCall şu anda Web3 alanında iş arayan kişileri hedef almak için kullanılıyor.

LinkedIn ve platformlar, ChainSeeker.io’nun sahte iş ilanlarını kaldırdı. Ayrıca, şirketin web sitesi topluluk veri tabanlarında tehlikeli olarak işaretlendi ve çalışanlarının LinkedIn hesapları silindi.

Bu Saldırılardan Nasıl Korunulur?

Eğer bu sahte iş ilanlarına başvurduysanız veya şüpheli bir yazılım yüklediyseniz aşağıdaki adımları takip ederek olası saldırılardan kendinizi koruyabilirsiniz:

• Kripto varlıklarınızı yeni bir cüzdana taşıyın ve eski cüzdanınızı kullanmayın.
• Tüm hesaplarınızın şifrelerini değiştirin ve kimlik doğrulama anahtarlarını sıfırlayın.
• Google Authenticator gibi iki faktörlü kimlik doğrulama (2FA) kullanın.
• Şüpheli dosyaları ve yazılımları silin, güvenilir bir antivirüs yazılımı ile tam sistem taraması yapın.

Hacker’ların kripto para sektörüne yönelik ilgisi her geçen gün artıyor. Bu nedenle kripto para kullanıcılarının ve yatırımcılarının daha bilinçli hareket etmesi ve güvenlik önlemlerini en üst seviyeye çıkarması gerekiyor.