Kripto para birimlerinin kalbinde yer alan teknoloji olan blockchain'de yeni bir kötü amaçlı yazılım ortaya çıktı. Kuzey Koreli Lazarus bilgisayar korsanları tarafından dağıtılan kötü amaçlı yazılım, kaldırma girişimlerine direniyor.
Yeni bir kötü amaçlı yazılım adı verildi Omnistealerhalka açık blok zincirlerinde keşfedildi; bu merkezi olmayan ağlar, kripto para birimlerinin işleyişinin merkezinde yer alıyor. Geleneksel olarak, bilgisayar korsanları bunun yerine yükü, yani kodun kötü amaçlı talimatları yürüten kısmını sunucularda veya paylaşılan dosyalarda barındırır.
Ayrıca okuyun: App Store'daki kripto dolandırıcılığı – bu sahte Ledger uygulaması düzinelerce insanı aldattı
Neden blockchain'de bir virüs saklayalım?
Keşfin arkasındaki uluslararası konsorsiyum olan Ransom-ISAC'tan araştırmacılar, Omnistealer'ın saklandığını açıklıyor. kamu işlemleri TRON, Aptos veya Binance Smart Chain gibi ağlarda. Bilgisayar korsanları kötü amaçlı yazılım yükünü bu işlemler içinde gizler. Bazı blockchain işlemleri türleri, notlar, meta veriler veya akıllı sözleşme parametreleri gibi küçük miktarlarda keyfi verilerin eklenmesine izin verir. Omnistealer'ın arkasındaki siber suçlular, şifreli metni, komutları ve hatta kötü amaçlı kod parçalarını doğrudan sızmak için bundan yararlandı. Bu unsurlar, virüsün siber saldırı sırasında son yükü yenilemesine ve tetiklemesine olanak tanır.
Bilgisayar korsanları, blockchain'den yararlanarak altyapılarını özellikle dayanıklı hale getirmeyi başarıyorlar. Aslında bir işlem yapılamaz blockchainden silinemezBu, kötü amaçlı yazılımın yetkililerin veya güvenlik araştırmacılarının olası saldırılarına direnmesine olanak tanır. Merkezi olmayan ağlarda hiçbir şeyin silinmesi mümkün değildir. Kayıt defterindeki tüm veriler değişmez. Bu mekanizma, blockchain ağlarını sansüre karşı dayanıklı hale getirmek için tasarlanmıştır. Blockchain suç operasyonlarının engellenmesini çok zorlaştırıyor. Kötü amaçlı bir depoyu bildirmek, bir sunucuyu kapatmak, bir dosyayı depolama hizmetinden kaldırmak veya GitHub deposunu ortadan kaldırmak mümkün olsa da, aynısını bir blockchain ile yapmak imkansızdır. Omnistealer'ın keşfini aktaran MalwareBytes araştırmacıları, Tron veya Binance Smart Chain gibi ağlarda “alan adlarını iptal edebileceğimizi ve GitHub depolarını silebileceğimizi ancak yapılan değişiklikleri geri alamayacağımızı” vurguluyor.
Kağıt üzerinde, bir işlemdeki verileri silmek teorik olarak mümkündür, ancak defterdeki doğrulayıcıların yarısından fazlasının onayını almanız gerekir. Biz buna diyoruz %51 saldırısı. Bunu başarmak çok zordur çünkü ağın toplam bilgi işlem gücünün %50'sinden fazlasını kontrol etmeniz gerekir. Kısacası hackerlar etkili bir şekilde blockchainin teknik özelliklerinin arkasına saklanıyorlar. MalwareBytes için suçlular dönüşüyor “kamuya açık kayıtları, savunucuların kolaylıkla ortadan kaldıramayacağı, dayanıklı, sansüre dayanıklı bir komuta ve kontrol altyapısına dönüştürüyor”.
Ayrıca okuyun: Kuzey Koreli bilgisayar korsanları kripto dünyasında yeni bir kurban ilan etti
Geri dönüş yapan bir taktik
Bu bir virüsün ortaya çıktığı ilk sefer değil Blockchain'in kalbinde. Geçen yıl, UNC5342 kod adıyla bilinen Kuzey Koreli bilgisayar korsanları, kötü amaçlı yazılımlarının kodunu Ethereum blockchain veya Binance Smart Chain üzerindeki akıllı sözleşmelere sakladılar. Merkezi olmayan finans dünyasında çok yaygın olan akıllı sözleşmeler, eylemleri doğrudan bir blockchain üzerinde yürüten otomatik programlardır. O zamanlar yeni bir taktikti ama görünen o ki diğer suç gruplarına da fikir verdi.
FBI müfettişlerinin Omnistealer'ın faaliyetlerinin izini başka bir Kuzey Koreli korsan çetesi olan ünlü Lazarus'a kadar takip edebildiklerini unutmayın. Kuzey Kore tarafından finanse edilen bilgisayar korsanları, kripto platformlarına saldırmaya alışkın ve blockchain teknolojilerinden yararlanma sanatında ustalar. Bu nedenle Lazarus'un blockchain üzerindeki işlemlerde kötü amaçlı kodları gizleme fikrine sahip olması şaşırtıcı değil.
Veri hırsızlığı
Ransom-ISAC araştırmacılarının Crystal Intelligence uzmanları eşliğinde yaptığı araştırmalar şunu gösteriyor:Omnistealer özellikle veri hırsızlığı için tasarlanmıştır. Kötü amaçlı yazılım, LastPass gibi bir düzineden fazla şifre yöneticisini, Chrome ve Firefox gibi piyasadaki büyük tarayıcıları, çevrimiçi depolama hesaplarını (Google Drive) ve ayrıca tarayıcı uzantılarını (MetaMask, Coinbase) temel alan 60'tan fazla kripto cüzdanını hedef alıyor. Tüm bilgi hırsızı kötü amaçlı yazılımlar gibi, virüs de elinden gelen her şeyi emmek bulaştığı cihazda. Temel olarak tanımlayıcıları, şifreleri, çerezleri, özel anahtarları ve hatta erişim jetonlarını hedefler.
Ransom-ISAC araştırmalarına göre 300.000'den fazla kimlik bilgisi potansiyel olarak ele geçirildi. Finans, lojistik, üretim, yetişkinlere yönelik eğlence, yiyecek dağıtımı ve hatta bazı devlet kurumları dahil olmak üzere çok çeşitli sektörler kendilerini siber suçluların hedefinde buldu. Korsanlar amaçlarına ulaşmak için geliştirme işleri için sahte teklifler LinkedIn veya Upwork'te. Bilgisayar korsanları, kandırılmış bir GitHub deposunu indirmeleri için insanları kandırıyor ve bu depo daha sonra kötü amaçlı yazılımı etkinleştirmek için blockchain'e bağlanıyor. Bu daha sonra bulduğu tüm bilgileri çekip alacaktır.
👉🏻 Teknoloji haberlerini gerçek zamanlı takip edin: 01net'i Google'daki kaynaklarınıza ekleyin ve WhatsApp kanalımıza abone olun.
Kaynak :
MalwareBytes
Bir yanıt yazın