Saldırganlar, yerleşik kripto para birimi yatırımcılarının kimliğine bürünerek bir video konferans görüşmesi planlamayı talep ediyor. Ancak dolandırıcıların sağladığı toplantı bağlantısına tıklamak, kullanıcıyı macOS sistemlerine sessizce kötü amaçlı yazılım yükleyen bir komut dosyası çalıştırmaya yönlendiriyor.
KrebsOnSecurity yakın zamanda Web’e yönelik yeni bir blockchain platformu oluşturmak için yatırım arayan bir startup’ta çalışan birinden haber aldı. Okuyucu, isminin bu hikayede kullanılmaması şartıyla konuştu, bu yüzden basitlik adına ona Doug diyeceğiz.
Kripto para sahnesinde yer alan Doug, aynı zamanda anlık mesajlaşma platformu Telegram’da da aktif. Bu ayın başlarında Doug’a, Telegram’daki profil adı, resmi ve açıklamasında kendisinin Singapur merkezli köklü bir yatırım şirketi olan Signum Capital’den Ian Lee olduğu söylenen biri yaklaştı. Profil ayrıca Bay Lee’nin aynı profil resmini içeren Twitter/X hesabına da bağlandı.
Yatırımcı, Doug’ın girişimini finansal olarak desteklemekle ilgilendiğini ifade etti ve Doug’a, yatırım olanaklarını tartışmak üzere bir video görüşmesi için zaman bulup bulamayacağını sordu. “Elbette” dedi Doug; “İşte Calendly profilim, rezervasyon yaptır; o zaman yaparız.“
Bay Lee ile planlanan toplantının günü ve saati geldiğinde Doug takvimindeki toplantı bağlantısına tıkladı ama hiçbir şey olmadı. Doug daha sonra Telegram’daki Bay Lee hesabına mesaj atarak video platformunda bir tür teknoloji sorunu olduğunu ve BT çalışanlarının farklı bir toplantı bağlantısı kullanmayı önerdiğini söyledi.
Doug yeni bağlantıya tıkladı ancak video konferans uygulamasını açmak yerine Mac’inde video hizmetinin teknik sorunlar yaşadığını belirten bir mesaj belirdi.
Mesajda “Bazı kullanıcılarımız hizmetimizle ilgili sorunlarla karşılaşıyor.” yazıyordu. “Bu sorunları çözmek için aktif olarak çalışıyoruz. Lütfen bu komut dosyasına geçici bir çözüm olarak bakın.“
Doug, senaryoyu kendisinin çalıştırdığını ancak bundan sonra hiçbir şey olmadığını ve video konferans uygulamasının hâlâ başlamadığını söyledi. Bay Lee rahatsızlıktan dolayı özür diledi ve toplantılarını yeniden planlamaları gerektiğini söyledi ancak Doug’ın takip eden mesajlarından hiçbirine yanıt vermedi.
Doug, Bay Lee ile kaçırılan toplantının bir kötü amaçlı yazılım saldırısı olabileceğini günler sonra fark etti. Konuşmayı yeniden gözden geçirmek için Telegram müşterisine geri dönen Doug, potansiyel yatırımcısının toplantı bağlantısını ve diğer konuşma parçalarını ortak sohbet geçmişinden sildiğini keşfetti.
Signum Capital, geçtiğimiz ay Twitter/X hesabında yayınladığı bir gönderide çalışanları Bay Lee gibi davranan sahte bir profilin Telegram’da insanları dolandırmaya çalıştığı konusunda uyardı.
Doug’ın çalıştırdığı dosya, macOS sistemlerinde çalıştırılmak üzere tasarlanmış kötü amaçlı bir truva atını indirip çalıştıran basit bir Apple Komut Dosyası. Ne yazık ki Doug, önemli belgelerini yedekleyerek, şifrelerini değiştirerek ve ardından macOS’u bilgisayarına yeniden yükleyerek kandırıldığına karar verdikten sonra çıldırdı. Bu tamamen mantıklı bir yanıt olsa da, komut dosyası tarafından Mac’ine aktarılan gerçek kötü amaçlı yazılıma sahip olmadığımız anlamına geliyor.
Ancak Doug’da hâlâ toplantı bağlantısı tıklatılarak indirilen kötü amaçlı komut dosyasının bir kopyası var (bu bağlantıyı sunan çevrimiçi toplantı sahibi artık çevrimdışı). Google’da bu komut dosyasından bir dizi metin arandığında, kripto para birimi güvenlik firması SlowMist’in Kuzey Kore devlet destekli bilgisayar korsanlarının Telegram’a yönelik kimlik avı saldırılarıyla ilgili Aralık 2023 tarihli bir blog gönderisi ortaya çıkıyor.
SlowMist, “Proje ekibi bağlantıya tıkladığında bir bölge erişim kısıtlamasıyla karşılaşıyor.” diye yazdı. “Bu noktada Kuzey Koreli bilgisayar korsanları, ekibi ‘konum değiştiren’ kötü amaçlı bir komut dosyası indirmeye ve çalıştırmaya ikna ediyor. Proje ekibi buna uyduktan sonra bilgisayarları bilgisayar korsanlarının kontrolüne giriyor ve bu da fonların çalınmasına yol açıyor.“
SlowMist, Kuzey Kore kimlik avı dolandırıcılığının, kötü amaçlı bağlantılar eklemek ve kimlik avı saldırıları başlatmak için Calendly toplantı planlama sisteminin “Özel Bağlantı Ekle” özelliğini etkinlik sayfalarında kullandığını söylüyor.
Blog yazısı şöyle açıklıyor: “Calendly çoğu proje ekibinin günlük çalışma rutinleriyle iyi bir şekilde bütünleştiğinden, bu kötü amaçlı bağlantılar kolayca şüphe uyandırmaz.” “Sonuç olarak, proje ekipleri yanlışlıkla bu kötü amaçlı bağlantılara tıklayabilir, kötü amaçlı kod indirebilir ve çalıştırabilir.“
SlowMist, kötü amaçlı bağlantı tarafından indirilen kötü amaçlı yazılımın Kaspersky Labs’ın Lazarus hack grubunun bir alt grubu olduğunu söylediği BlueNoroff adlı Kuzey Koreli bir bilgisayar korsanlığı grubundan geldiğini söyledi.
Kaspersky, Aralık 2023’te BlueNoroff hakkında şunları yazdı: “Bankaları, kumarhaneleri, finans teknolojisi şirketlerini, POST yazılımını ve kripto para birimi işletmelerini ve ATM’leri hedef alan; Lazarus’la yakından bağlantılı, finansal motivasyona sahip bir tehdit aktörü.“
Kuzey Kore rejiminin, askeri ve diğer devlet projelerini finanse etmek için çalıntı kripto para birimlerini kullandığı biliniyor. Recorded Future’ın yakın tarihli bir raporu, Lazarus Grubu’nun son altı yılda yaklaşık 3 milyar dolarlık kripto para birimi çaldığını ortaya koyuyor.
Bugün Microsoft Windows PC’leri hedef alan çok daha fazla kötü amaçlı yazılım bulunsa da; macOS kullanıcılarını hedef alan, bilgi çalan truva atlarının yaygınlığı istikrarlı bir şekilde artıyor. MacOS bilgisayarları, Apple’ın yerleşik antivirüs teknolojisi olan X-Protect’i içerir. Ancak uzmanlar, saldırganların X-Protect’ten kaçmak için kötü amaçlı yazılımlarının görünümünü ve davranışını sürekli değiştirdiklerini söylüyor.
Güvenlik firması SentinelOne, “MacOS’un XProtect imza veri tabanındaki son güncellemeler, Apple’ın sorunun farkında olduğunu gösteriyor; ancak, 2024’ün başlarında bazı hırsız ailelerin bilinen imzalardan kaçtığını gördük.”
Tehdit avcılığı platformu Hunt.io’dan Chris Ueland’a göre, sahte toplantı web sitesi Doug’ın İnternet adresi kandırılarak (104.168.163,149) ana bilgisayarı ziyaret etti veya yakın zamanda birçoğu video konferansla ilgili sözcükleri çağrıştıran yaklaşık 75 farklı alan adını barındırdı. Bu alanlar, Kuzey Koreli hacker grubunun bir dizi sahte kripto para firmasının arkasına saklandığını gösteriyor.
Yeni Mac kötü amaçlı yazılımlarının artan sıklığı, Mac kullanıcılarının genellikle yasal yazılımlarla birlikte gelen veya yasal yazılım gibi görünen kötü amaçlı dosyaları işaretlemek için güvenlik yazılımlarına ve araçlarına güvenmemeleri gerektiğinin iyi bir hatırlatıcısıdır.
Uyulması gereken iyi bir güvenlik kuralı şudur: Aramadıysanız kurmayın. Bu mantığı takip etmek, kullanılan platformdan bağımsız olarak çok sayıda kötü amaçlı yazılım saldırısının önüne geçer. Bir yazılım yüklemeye karar verdiğinizde, onu orijinal kaynaktan indirdiğinizden emin olun ve ardından yeni güvenlik düzeltmeleriyle güncel tutun.
Bu son açıdan, planlanmış bir video konferans görüşmesine katılmadan önce sistemimi yapılandırmak için son dakikaya kadar beklememenin iyi bir fikir olduğunu buldum. Aramada halihazırda bilgisayarımda bulunan bir yazılım kullanılıyor olsa bile, programın kullanılabilmesi için yazılım güncellemelerinin sıklıkla yapılması gerekir ve ben yazılım üreticisinin gizliliğinde yapılan değişiklikleri incelemeyi seven tuhaf insanlardan biriyim. Güncellemeleri yüklemeyi seçmeden önce politikaları veya kullanıcı sözleşmelerini kontrol edin.
Hepsinden önemlisi, yabancılardan herhangi bir şey kabul etmeden önce yeni kişilerinizi doğrulayın. Bu durumda Doug, Bay Lee’nin Twitter/X’teki gerçek hesabına mesaj atmış olsaydı veya doğrudan Signum Capital ile iletişime geçmiş olsaydı, gerçek Bay Lee’nin asla bir toplantı istemediğini keşfederdi.
Benzer bir yöntemle size de yaklaşılırsa, olası kurbanın SlowMist blog yazısında belgelenen yanıtı muhtemelen en iyisi.
