Büyük kripto firmaları kılığına giren kötü amaçlı yazılımlar dünya çapında 10 milyondan fazla kişiyi hedef alıyor

Güvenlik firması Check Point, milyonlarca kurbanı kripto ile ilgili verileri çalmak için cezbederek kripto platformlarının kimliğine bürünen JSCEAL adlı bir kötü amaçlı yazılım konusunda uyarıyor, bu nasıl çalışıyor? Yakın tarihli bir blog gönderisinde Check Point Research, kripto yatırımcılarını, Binance, MetaMask, eToro, DEX Screener, Monero, Kraken ve daha birçokları dahil olmak üzere yaklaşık 50 kripto platformunun kimliğine bürünerek özellikle kripto ile ilgili verileri hedef alan oldukça yeni bir çevrimiçi tehdit konusunda bilgilendirdi. JSCEAL adlı kötü amaçlı yazılım, Mart 2024'ten beri aktif durumda ve sınırlı etkinliğe sahip olmasına rağmen daha karmaşık bir operasyona dönüştü. Güvenlik firması, "Kampanyanın son aşamasında, tehdit aktörleri çok sayıda alan adı edindi ve bazen nihai yükü dağıtmaktan kaçınmak da dahil olmak üzere algılamayı atlatmak için farklı teknikler benimsedi" diye yazdı. Kötü amaçlı yazılım kampanyası, kurbanları cezbetmek için kripto firması reklamları üretiyor. Reklamları tıkladıklarında, onları ticaret için kullanılan gerçek kripto platformları olduğuna inanarak "sahte uygulamaları" yüklemeye yönlendiren "tuzak web sitelerine" yönlendiriliyorlar. Bu arada, kötü niyetli aktörler kurbanın sistemine sızıyor ve kripto ile ilgili verilerini çalıyor. Check Point, "2025'in ilk yarısında, tehdit aktörleri yaklaşık 35.000 kötü amaçlı reklam yayınladı ve bu da yalnızca AB'de birkaç milyon görüntülemeye yol açtı" diye yazdı blog gönderisinde. Güvenlik firmasının tahminlerine göre, her reklam Avrupa Birliği'nde en az 100 kullanıcıya ulaşabildi. Bu, 35.000 reklamla bilgisayar korsanlarının yalnızca AB içinde 3,5 milyon kullanıcıya ulaşabildiği anlamına geliyor. Bu arada, firma AB dışındaki kullanıcıları hesaba katmadı. Sosyal medya kullanıcı tabanının dünya çapında AB'den çok daha büyük olduğu düşünüldüğünde, güvenlik firmaları "küresel erişimin kolayca 10 milyonu [insanı] aşabileceği" sonucuna varıyor. Blog gönderisine göre, kötü amaçlı yazılım kampanyasının en son sürümü, tespit edilmesini zorlaştıran "benzersiz bir anti-kaçınma yöntemleri" olarak adlandırılan şeyi kullanıyor. Güvenlik firması, onları kötü amaçlı yazılımı doğrudan cihazlarına yüklemeye yönlendiren sahte bir web sitesi kullanarak, çift katmanlı yöntemin "analiz ve tespit çabalarını önemli ölçüde karmaşıklaştırdığını" söyledi. JSCEAL, programlama dili JavaScript'in yanı sıra güvenlik firmasının "derlenmiş kod ve ağır karartma kombinasyonu" olarak kabul ettiği şeyi kullanıyor. Bu şekilde, kurbanın çalışmasını sağlamak için kodu tetiklemesi gerekmiyor. Dahası, kampanyanın temel amacı, bulaşmış cihazdan bilgi çalmak ve ana bilgisayar korsanının sunucusuna göndermektir. Firmanın analizine göre, saldırganlar konum, otomatik tamamlama şifreleri, ağ ayrıntıları, e-posta bilgileri ve proxy yapılandırması dahil olmak üzere "kapsamlı makine bilgileri" topluyor. Ek olarak, saldırganlar kurbanı değerli bulursa, daha fazla veri çalmak ve muhtemelen kötü amaçlı yazılımın tüm izlerini kurbanın sisteminden silmek için "nihai yükü" indirebilen ve çalıştırabilen ek bir kod ekleyeceklerdir. Ancak, kullanıcılar kötü amaçlı yürütmeleri tespit etmek ve zaten bulaşmış bir cihazdaki devam eden saldırıları durdurmak için yine de kötü amaçlı yazılımdan koruma yazılımı kullanabilirler. [Check Point]