Sahte CoinMarketCap Gazetecileri, Mızraklı Kimlik Avı Kampanyasında Kripto Yöneticilerini Hedef Alıyor

Sahte CoinMarketCap gazeteci profilleri, Zoom röportajları aracılığıyla kripto para yöneticilerini hedef alarak kötü amaçlı yazılım, veri hırsızlığı ve cüzdan kaybı riskine yol açıyor.

Yeni bir kimlik avı kampanyası, sahte röportaj talepleriyle kripto para sektöründeki yöneticileri hedef alıyor. Saldırganlar, CoinMarketCap ile bağlantılı gazetecileri taklit ediyor ve şirketin web sitesindeki aktif profillerini kullanarak meşru görünmeye çalışıyor.

Tehdit istihbarat analistleri, kripto para sektöründeki yöneticileri hedef alan bir kimlik avı saldırısı tespit etti. Saldırgan, güven oluşturmak için eski bir CoinMarketCap katılımcısının tam adını ve fotoğrafını kullanıyor.

Doğrudan iletişime geçildiğinde, taklit edilen kişi artık CoinMarketCap ile bağlantısının olmadığını doğruladı. Ancak adı ve fotoğrafı hala kamuya açık olarak listeleniyor ve bu da kimlik avı girişimine ek bir güvenilirlik sağlıyor.

Dolandırıcılık şöyle işliyor: Hedefler, Web3 inovasyonu üzerine bir röportaja katılmaya davet eden bir e-posta alıyor. Mesaj, CoinMarketCap ekibinden geliyor gibi görünse de aslında yalnızca e-posta göndermek üzere yapılandırılmış, çözümlemeyen sahte bir alan adından geliyor.

Bu e-postalar profesyonelce yazılmış olup, alan adının ötesinde herhangi bir şüphe uyandırmaz. Her biri, orijinal CoinMarketCap markasını taşımaya devam eden Calendly üzerinden bir Zoom görüşmesi planlamak için bir düğmeyle kapanır.

Hedef görüşmeye katıldığında, kendisine iki karakter tanıtılıyor: Igor ve Dirk (ikincisi, Zoom üzerinden görüntülenen kişinin gerçek adını ve profil resmini kullanarak eski bir CoinMarketCap editörünü taklit ediyor).

Kısa bir tanışma ve kısa bir sohbetin ardından Igor, hedefinden uygulamasının dilini Lehçe'ye çevirmesini ister ve aksi takdirde not alma uygulamasının bozulacağını iddia eder. Hatta suç ortağıyla sohbet ederek şöyle bir şey söyler: "Tıpkı geçen seferki diğer görüşmede yaptığımız gibi. Dirk, senin tarafında da Lehçe'ye çevirmeme yardım et."

Daha sonra hedef kişinin işletim sistemi hakkında soru sorarak "dili değiştirmeye yardımcı olmak" için fırsat kolluyor. Bu işlem, artık Lehçe dilinde çalışan Zoom'un yeniden başlatılmasına yol açıyor.

Röportaj devam ediyor ve birkaç dakika sonra, biri maviyle vurgulanmış iki seçeneğin yer aldığı Lehçe bir açılır pencere beliriyor. Standart bir Zoom mesajı: "Uzaktaki bir katılımcı ekranınızın kontrolünü ele geçirmek istiyor."

Kabul edilmesi, saldırgana hedefin klavyesi ve faresi üzerinde tam kontrol (kötü amaçlı yazılım dağıtmak, dosyaları sızdırmak veya kimlik bilgilerini ve kripto cüzdanlarını çalmak için yeterli) sağlayacak ve tüm bunları normal uygulama etkileşimi kisvesi altında gerçekleştirecek.

Tehdit aktörleri, Zoom'un uzaktan kumanda özelliğini, birçok kurumsal ortamda varsayılan olarak etkin olması ve genellikle bir saldırı vektörü olarak fark edilmemesi nedeniyle istismar ediyor. Kullanıcılar genellikle Zoom'un kötü amaçlı kullanılmasını beklemezler ve bir sorun olduğunu fark edeceklerini düşünseler de, çoğu görüşme sırasında dikkatleri dağılır.

Uygulamada, uzaktan erişim sağlandıktan sonra kötü amaçlı yazılımın dağıtımı yalnızca birkaç saniye sürebilir: Bir çalıştırma istemi açmak, bir komut yapıştırmak ve Enter tuşuna basmak, sistemi tehlikeye atmak için yeterlidir. Bu taktik, özellikle kripto profesyonellerine yönelik hedefli saldırılarda oldukça etkili olduğunu kanıtlamıştır; tanınmış kurbanlar ve etkili kişiler bu konuda kamuoyunu şimdiden uyarmaktadır.

Bu yaklaşım, kurbanlara adımları kendilerinin gerçekleştirmeleri talimatı verilen son ClickFix saldırı dalgasına benziyor. Buradaki fark, saldırganın prosedürü doğrudan uzaktan kumanda aracılığıyla yürütmesi ve bu da onu çok daha tehlikeli ve öngörülemez hale getirmesidir.

Alan adı: team-coinmarketcapcom

Alan adı: contact-coinmarketcapcom

E-posta: dirk@team-coinmarketcapcom

E-posta: no-reply@contact-coinmarketcapcom

Orijinal Intelligence Pulse: https://otx.alienvault.com/pulse/688bdd12087cf39d39d15839