Kripto para piyasasında hesapların korunması konusu one cıktı. Bu konuda araştırma yapan Kaspersky uzmanları, gelişmiş kalıcı tehdit (APT) merkezi BlueNoroff'un dunya capındaki kucuk ve orta olcekli şirketlere yonelik buyuk kripto para birimi kayıplarına yol acan saldırılarını ortaya cıkardı. Kaspersky acıklamasına gore, SnatchCrypto adlı hareket, kripto para birimlerini, akıllı sozleşmeleri, DeFi, Blockchain ve FinTech endustrisini ve bunlarla ilgilenen ceşitli şirketleri hedef alıyor. BlueNoroff'un en son hareketinde saldırganlar, hedef şirketlerin calışanlarının guvenini "sozleşme" veya başka bir iş dosyası kisvesi altında gozetim işlevlerine sahip tam ozellikli bir Windows arka kapısı gondererek suistimal ediyor. 
Saldırganlar, kurbanların kripto cuzdanını boşaltmak icin karmaşık altyapı, acıklardan yararlanma ve kotu amaclı yazılım implantlarından oluşan kapsamlı ve tehlikeli kaynaklar geliştirdi. BlueNoroff, Lazarus grubunun bir parcası olarak ceşitli yapılarını ve gelişmiş saldırı teknolojilerini kullanıyor. Lazarus APT grubu, bankalara ve SWIFT'e bağlı sunuculara yonelik saldırılarla tanınıyor ve kripto para birimi yazılımının geliştirilmesi icin sahte şirketlerin kurulmasıyla uğraşıyor. 
Aldatılan muşterilere sonrasında yasal gorunen uygulamalar yuklendi ve bir sure sonra arka kapıdan guncellemeler iletildi. Ardından kripto para birimi girişimlerine yonelik saldırılar başladı. Kripto para birimi işletmelerinin coğu kucuk veya orta olcekli girişimler olduğundan ic guvenlik sistemlerine cok fazla yatırım yapamıyor. Saldırgan bu zaafı değerlendiriyor ve ayrıntılı sosyal muhendislik şemaları kullanarak bundan yararlanıyor. BlueNoroff, kurbanın guvenini kazanmak icin mevcut bir risk sermayesi şirketi gibi davranıyor. Kaspersky araştırmacıları, SnatchCrypto kampanyası sırasında marka adı ve calışan adlarının kotuye kullanıldığı 15'ten fazla girişimi ortaya cıkardı. 
APT grubu, sistemleri enfekte etmek adına ceşitli yontemlere sahip ve duruma gore ceşitli enfeksiyon zincirlerini bir araya getiriyor. Saldırganlar, silaha donuşturulmuş Word belgelerinin yanı sıra sıkıştırılmış Windows kısayol dosyaları biciminde gizlenmiş kotu amaclı yazılımları da yayıyor. Kurbanın genel bilgileri daha sonra tam ozellikli bir arka kapı oluşturan Powershell aracısına gonderiliyor. Bunu kullanarak BlueNoroff, kurbanı izlemek icin diğer kotu amaclı aracları olan bir keylogger ve ekran goruntusu alıcısını devreye sokuyor. Ardından saldırganlar, haftalarca ve aylarca kurbanları takip ediyor. Finansal hırsızlık icin strateji planlarken tuş vuruşlarını topluyor ve kullanıcının gunluk işlemlerini izliyor. Kripto cuzdanlarını yonetmek icin populer bir tarayıcı uzantısı kullanan belirgin bir hedef bulduktan sonra (orneğin Metamask uzantısı gibi), uzantının ana bileşenini sahte bir surumle değiştiriyor. Araştırmacılara gore saldırganlar, buyuk transferler keşfettiklerinde bir bildirim alıyorlar. Guvenliği ihlal edilmiş kullanıcı başka bir hesaba bir miktar para aktarmaya calıştığında işlem surecini durdurup kendi aracılarını enjekte ediyorlar. Başlatılan odemeyi tamamlamak icin kullanıcı "onayla" duğmesini tıkladığında, siber suclular alıcının adresini değiştiriyor ve işlem miktarını en ust duzeye cıkarıyor. Boylece hesabı tek bir hamlede boşaltıyor. 
Acıklamada goruşlerine yer verilen Kaspersky Kuresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Guvenlik Araştırmacısı Seongsu Park, saldırganların surekli olarak başkalarını kandırmak ve istismar etmek icin yeni yollar keşfederken, kucuk işletmelerin calışanlarını temel siber guvenlik uygulamaları konusunda eğitmesi gerektiğini belirterek, "Şirketin kripto cuzdanlarıyla calışması ozellikle onemlidir. Kripto para birimi hizmetlerini ve uzantılarını kullanmanın yanlış bir tarafı yoktur ancak bunun hem APT hem de siber suclular icin cekici bir hedef olduğunu unutmayın. Bu nedenle, bu sektorun iyi korunması gerekiyor." ifadelerini kullandı.
Saldırganlar, kurbanların kripto cuzdanını boşaltmak icin karmaşık altyapı, acıklardan yararlanma ve kotu amaclı yazılım implantlarından oluşan kapsamlı ve tehlikeli kaynaklar geliştirdi. BlueNoroff, Lazarus grubunun bir parcası olarak ceşitli yapılarını ve gelişmiş saldırı teknolojilerini kullanıyor. Lazarus APT grubu, bankalara ve SWIFT'e bağlı sunuculara yonelik saldırılarla tanınıyor ve kripto para birimi yazılımının geliştirilmesi icin sahte şirketlerin kurulmasıyla uğraşıyor. Aldatılan muşterilere sonrasında yasal gorunen uygulamalar yuklendi ve bir sure sonra arka kapıdan guncellemeler iletildi. Ardından kripto para birimi girişimlerine yonelik saldırılar başladı. Kripto para birimi işletmelerinin coğu kucuk veya orta olcekli girişimler olduğundan ic guvenlik sistemlerine cok fazla yatırım yapamıyor. Saldırgan bu zaafı değerlendiriyor ve ayrıntılı sosyal muhendislik şemaları kullanarak bundan yararlanıyor. BlueNoroff, kurbanın guvenini kazanmak icin mevcut bir risk sermayesi şirketi gibi davranıyor. Kaspersky araştırmacıları, SnatchCrypto kampanyası sırasında marka adı ve calışan adlarının kotuye kullanıldığı 15'ten fazla girişimi ortaya cıkardı. APT grubu, sistemleri enfekte etmek adına ceşitli yontemlere sahip ve duruma gore ceşitli enfeksiyon zincirlerini bir araya getiriyor. Saldırganlar, silaha donuşturulmuş Word belgelerinin yanı sıra sıkıştırılmış Windows kısayol dosyaları biciminde gizlenmiş kotu amaclı yazılımları da yayıyor. Kurbanın genel bilgileri daha sonra tam ozellikli bir arka kapı oluşturan Powershell aracısına gonderiliyor. Bunu kullanarak BlueNoroff, kurbanı izlemek icin diğer kotu amaclı aracları olan bir keylogger ve ekran goruntusu alıcısını devreye sokuyor. Ardından saldırganlar, haftalarca ve aylarca kurbanları takip ediyor. Finansal hırsızlık icin strateji planlarken tuş vuruşlarını topluyor ve kullanıcının gunluk işlemlerini izliyor. Kripto cuzdanlarını yonetmek icin populer bir tarayıcı uzantısı kullanan belirgin bir hedef bulduktan sonra (orneğin Metamask uzantısı gibi), uzantının ana bileşenini sahte bir surumle değiştiriyor. Araştırmacılara gore saldırganlar, buyuk transferler keşfettiklerinde bir bildirim alıyorlar. Guvenliği ihlal edilmiş kullanıcı başka bir hesaba bir miktar para aktarmaya calıştığında işlem surecini durdurup kendi aracılarını enjekte ediyorlar. Başlatılan odemeyi tamamlamak icin kullanıcı "onayla" duğmesini tıkladığında, siber suclular alıcının adresini değiştiriyor ve işlem miktarını en ust duzeye cıkarıyor. Boylece hesabı tek bir hamlede boşaltıyor. Acıklamada goruşlerine yer verilen Kaspersky Kuresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Guvenlik Araştırmacısı Seongsu Park, saldırganların surekli olarak başkalarını kandırmak ve istismar etmek icin yeni yollar keşfederken, kucuk işletmelerin calışanlarını temel siber guvenlik uygulamaları konusunda eğitmesi gerektiğini belirterek, "Şirketin kripto cuzdanlarıyla calışması ozellikle onemlidir. Kripto para birimi hizmetlerini ve uzantılarını kullanmanın yanlış bir tarafı yoktur ancak bunun hem APT hem de siber suclular icin cekici bir hedef olduğunu unutmayın. Bu nedenle, bu sektorun iyi korunması gerekiyor." ifadelerini kullandı.