Güvenlik araştırmacısı Randy McEoin, Ağustos 2023’te içeriği görüntüleyebilmeniz için tarayıcınızı güncellemeniz gerektiğini iddia eden bir sayfayı ziyaretçilere sunmak amacıyla saldırıya uğramış WordPress sitelerini kullanan ClearFake adını verdiği bir dolandırıcılık hakkında blog yazdı.
Sahte tarayıcı uyarıları kullandığınız tarayıcıya özeldir. Dolayısıyla örneğin Web’de Chrome ile geziniyorsanız bir Chrome güncelleme istemi alırsınız. Güncelleme düğmesini tıklatarak kandırılanların sistemlerine, bilgi çalan bir truva atı yüklemeye çalışan kötü amaçlı bir dosya düşecek. Ekim ayı başalrında Tel Aviv merkezli güvenlik firması Guardio’daki araştırmacılar, ClearFake dolandırıcılığının önemli bir gelişmeyi içeren güncellenmiş bir versiyonunu izlediklerini söyledi. Guardio, grubun daha önce kötü amaçlı güncelleme dosyalarını Cloudflare’de sakladığını söyledi.
Ancak Cloudflare bu hesapları engellediğinde, saldırganlar kötü amaçlı dosyalarını, merkezi olmayan uygulamaları ve “akıllı sözleşmeleri” veya belirli koşullar karşılandığında eylemleri otomatik olarak yürüten kodlanmış anlaşmaları çalıştırmak için tasarlanmış bir teknoloji olan Binance Akıllı Zincir’de (BSC) kripto para birimi işlemleri olarak depolamaya başladı.
ClearFake dolandırıcılığı için sözleşme yönetimi
Guardio’nun araştırma birimi Guardio Labs’ın güvenlik şefi Nati Tal , saldırıya uğramış WordPress sitelerine eklenen kötü amaçlı komut dosyalarının, BSC Blockchain üzerinde benzersiz, saldırgan tarafından kontrol edilen bir blockchain adresi ve bir dizi güvenlik koduyla başlayan yeni bir akıllı sözleşme oluşturacağını söyledi. Bu sözleşme, güvenliği ihlal edilmiş bir web sitesi tarafından sorgulandığında, gizlenmiş ve kötü amaçlı bir yük döndürecek.
Tal, Guardio’daki meslektaşı Oleg Zaytsev ile birlikte “Bu sözleşmeler, uygulamalar ve süreçler oluşturmak için yenilikçi yollar sunuyor. Blockchain’in halka açık ve değiştirilemez doğası nedeniyle, kod, kaldırılma olanağı olmadan ‘zincir üzerinde’ barındırılabilir” ifadelerine yer verdi. Tal, kötü amaçlı dosyaları Binance Smart Chain’de barındırmanın saldırganlar için ideal olduğunu, çünkü kötü amaçlı sözleşmeyi geri almanın, gerçek dünyada herhangi bir etki yaratmadan, başlangıçta sözleşme yürütme sorunlarının hatalarını ayıklamak amacıyla tasarlanmış, ücretsiz bir işlem olduğunu söyledi. Tal, “Böylece verilerinizi (kötü amaçlı yük) iz bırakmadan almanın ücretsiz, izlenmeyen ve sağlam bir yoluna sahip oluyorsunuz” dedi.
KrebsOnSecurity’nin sorularına yanıt veren BNB Smart Chain (BSC), ekibinin kötü amaçlı yazılımın blok zincirini kötüye kullandığının farkında olduğunu ve bu sorunu aktif olarak ele aldığını söyledi. Şirket, kötü amaçlı yazılımın yayılmasıyla ilişkili tüm adreslerin kara listeye alındığını ve teknisyenlerinin, kötü amaçlı komut dosyalarını barındırmak için benzer yöntemleri kullanan gelecekteki akıllı sözleşmeleri tespit etmek için bir model geliştirdiğini söyledi.
