Tek bir yazılımla 500 bin dolarlık Bitcoin çaldılar

Virüs bulaşan projeler arasında Instagram hesaplarıyla
etkileşime yönelik bir otomasyon aracı, Bitcoin cüzdanlarının
uzaktan yönetilmesini sağlayan bir Telegram botu ve Valorant
oyununu oynarken kullanılan bir crack aracı bulunuyor. Ancak iddia
edilen tüm bu proje işlevleri sahteydi ve kampanyanın arkasındaki
siber suçlular kişisel ve bankacılık verilerini çalmayı, panodan
kripto cüzdan adreslerini ele geçirmeyi hedefliyordu. Kötü niyetli
faaliyetlerin sonucu olarak siber suçlular 5 Bitcoin (soruşturma
sırasındaki değeri yaklaşık 485 bin dolar) çalmayı başardılar.
Kaspersky, virüslü depoların dünya çapında kullanıldığını ve en çok
vakanın Brezilya, Türkiye ve Rusya’da görüldüğünü tespit
etti.

Bu depolar, geliştiricilerin kodlarını yönetmelerine ve
paylaşmalarına olanak tanıyan bir platform olan GitHub’da birkaç
yıldır saklanıyordu. Saldırganlar, muhtemelen yapay zeka ile
oluşturulmuş ilgi çekici proje açıklamaları kullanarak GitHub’daki
depoların potansiyel hedeflere meşru görünmesini sağlamaya
çalıştılar. Bu depolardaki kodlar çalıştırıldığında, kurbanın
cihazına kötü amaçlı yazılım bulaşıyor ve saldırganlar tarafından
uzaktan kontrol edilebiliyordu.

Projeler Python, JavaScript, C, C++ ve C# gibi birden fazla
programlama dilinde yazılmış olsa da, virüslü projelerin içinde
depolanan kötü amaçlı yüklerin amacı aynıydı: Saldırganların
kontrolündeki GitHub deposundan diğer kötü amaçlı bileşenleri
indirmek ve bunları çalıştırmak. Bu bileşenler arasında şifreleri,
banka hesap bilgilerini, kayıtlı kimlik bilgilerini, kripto para
cüzdanı verilerini ve tarama geçmişini toplayan, bunları bir .7z
arşivine paketleyen ve Telegram aracılığıyla yükleyen bir hırsızlık
aracı yer alıyor.

Hırsızlık yazılımının siber saldırganlara gönderdiği arşivin
yapısı

İndirilen diğer zararlı bileşenler arasında, güvenli şifreli bir
bağlantı aracılığıyla kurbanın bilgisayarını uzaktan izlemek ve
kontrol etmek için kullanılabilen uzaktan yönetim araçları ve pano
içeriğinde kripto para cüzdanı adreslerini arayan ve bunları
saldırganın kontrol ettiği adreslerle değiştiren bir pano korsanı
bulunuyor. Saldırgan tarafından kontrol edilen Bitcoin cüzdanı,
Kasım 2024’te yaklaşık 5 BTC (araştırma sırasındaki değeri yaklaşık
485 bin dolar) tutarında bir meblağ aldı.

Kaspersky GReAT Güvenlik Araştırmacısı Georgy
Kucherin, şunları söyledi: “GitHub gibi kod
paylaşım platformları dünya çapında milyonlarca geliştirici
tarafından kullanıldığından, tehdit aktörleri gelecekte de sahte
yazılımları bir bulaşma tuzağı olarak kullanmaya devam edecekler.
Bu nedenle, üçüncü taraf kodlarının işlenmesini çok dikkatli bir
şekilde ele almak çok önemlidir. Bu tür bir kodu çalıştırmaya veya
mevcut bir projeye entegre etmeye çalışmadan önce, hangi eylemlerin
gerçekleştirildiğini iyice kontrol etmekte fayda var. Bu sayede
sahte projeleri tespit etmek ve bunlara yerleştirilen kötü amaçlı
kodların geliştirme ortamını tehlikeye atmak için kullanılmasını
önlemek daha kolay olacaktır.”