Hackerlar, Sahte Binance E-postaları Aracılığıyla Zararlı Yazılım Yaymak İçin TRUMP Coin Dolandırıcılığını Kullanıyor

Hackerlar, kurbanları malware yüklemeye kandırmak için sahte bir Binance web sitesi ve TRUMP kripto para birimi vaadini kullanıyor, siber güvenlik araştırmacıları uyarıyor.

Cofense tarafından açığa çıkarılan phishing kampanyası, dünyanın en büyük kripto para borsası olan Binance’i taklit ederek kullanıcılara Binance yazılımını indirip depozito yatırmaları karşılığında TRUMP coin kazanma şansı sunuyor. Ancak mağdurlar, onları iki dakikadan kısa bir sürede bilgisayarlarının kontrolünü hackerlara veren bir uzaktan erişim aracı (RAT) kurmuş oluyorlar.

Trump, TRUMP coin’i Ocak ayında duyurmuştu ve iddialara göre ona bağlı şirketler bu durumdan milyonlarca dolar kazanmıştı. Kripto para birimi kendisi tartışmalı olsa da, dolandırıcılık eylemi, The Record‘ın da bildirdiği gibi, politik destekçileri hedef alan siber suçlar konusunda daha fazla endişe yaratıyor.

Cofense’deki İstihbarat Müdürü Max Gannon, saldırının ciddiyetini açıkladı: “Bazı kampanyalar LinkedIn’i, diğerleri Binance, Virtru ve hatta Amerika Birleşik Devletleri Sosyal Güvenlik İdaresi’ni taklit etmiştir. Muhtemelen neden son zamanlarda bu kadar popüler olduğu, birçok özelliğe sahip olması, ücretsiz kullanılabilir olması ve kolayca kurulabilmesidir,” dedi The Record.

“Ayrıca teknik olarak meşru olduğu için, basitçe engellenemeyen çok sayıda dosya kullanıyor çünkü bu dosyalar ConnectWise RAT’ın meşru kurulumları tarafından da kullanılıyor,” diye ekledi.

E-postalar, daha meşru görünmek için risk uyarılarını bile içerecek şekilde Binance markasını ikna edici bir şekilde taklit ediyor. Dolandırıcılığın sahte web sitesi de Binance ve TRUMP coin sayfalarına oldukça benziyor, her iki platformdan gerçek görüntüler kullanıyor.

Ancak, bir Binance müşterisi sağlamak yerine, site, siber suçluların enfekte olmuş bilgisayarları uzaktan ele geçirmesine izin veren modifiye edilmiş bir ConnectWise RAT versiyonunu sunar. Bir cihaz tehdit altına girdiğinde, saldırgan zaman kaybetmez.

“Bir kontrol işlemi yapıldıktan kısa bir süre sonra, tehdit unsuru, herhangi bir enfekte bilgisayarı uzaktan kontrol etmeye başlar. Bu, çoğu ConnectWise RAT kurulumunun aksine, tehdit unsuru, biraz zaman geçtikten sonra enfekte bir host ile etkileşime geçmeye karar verir,” şeklinde bir açıklama yaptı Cofense.

Saldırganlar, özellikle Microsoft Edge gibi tarayıcılardan kaydedilen şifreleri hemen hedef alır. Bu kampanya, siber suçluların gerçek dünya haberlerini ve politik olayları dolandırıcılıklarını artırmak için kullanma eğiliminin arttığını göstermektedir. Trump’ın çokça gündeme gelen kripto parasını kullanarak, hackerlar kurbanları tuzağa düşürmek için etkili bir yol bulmuşlardır.

Cofense, ConnectWise RAT’ın basitliğinin, faaliyetlerini gizlemeye çalışan tecrübesiz bireylerden ileri düzey sürekli tehdit (APT) gruplarına kadar her beceri seviyesindeki hackerlar tarafından erişilebilir hale getirdiğini açıkladı.

Güvenlik uzmanları, kullanıcıları istenmeyen e-postalara karşı dikkatli olmaları ve finansal fırsatlar vaad eden bağlantılara tıklamaktan kaçınmaları konusunda uyarıyor. Bunun yerine, dolandırıcılığa kurban gitmeyi önlemek için resmi kripto para web sitelerini doğrudan ziyaret etmelerini öneriyorlar.