Kripto dolandırıcıları, para çalmak için sahte Zoom kötü amaçlı yazılımını kullanıyor

Yeni bir kripto-kötü amaçlı yazılım, bulut tabanlı video konferans platformu Zoom kullanıcılarını hedef alıyor. Kötü amaçlı yazılım, kullanıcıları kripto varlıklarını çalmak için kötü amaçlı bir web sitesine yönlendirir.

Siber güvenlik mühendisi "NFT_Dreww" tarafından 22 Temmuz'da tespit edilen kötü amaçlı web sitesi, orijinal Zoom görüntülü görüşme bağlantısını yakından taklit ediyor.

Sosyal mühendislikle başlar

Saldırı, başlangıçta dolandırıcının kurbana yaklaşması ve onu bir video görüşmesine katılması için kandırmaya çalışmasıyla başlar. NFT_Dreww, saldırganın melek yatırım fırsatları sunması veya kurbandan X alanlarına misafir olarak katılmasını istemesinin yaygın taktikler olduğunu söylüyor.

Dolandırıcıların X profilleri, onların ortalama kripto piyasası katılımcılarına benzemesini sağlayacak şekilde tasarlanmıştır. Meşru görünmek için genellikleNFT profil resimlerini süslüyorlar ve çeşitli projelerle ilişkili olduklarını iddia ediyorlar.

Dolandırıcılık, usXXweb.zoom[.]us gibi meşru olanlara benzeyen *.us50web[.]us gibi sahte Yakınlaştırma URL'leri oluşturarak çalışır. Sahte URL'lerin orijinal görünmelerini sağlamak için gerçek toplantı kimliklerini ve şifrelerini içerirler.

NFT_Dreww, URL'deki "-" işaretinin bir alt alan adı değil, üst düzey alan adının bir parçası olduğunu ve bunun birçok kullanıcıyı yanılttığını vurguladı.

Orijinal Zoom etki alanı ile kötü amaçlı etki alanı arasındaki fark. Kaynak: X'te NFT_Dreww

Bir kullanıcı katılmayı kabul ederse saldırganlar, ekiplerinin zaten görüşme halinde olduğunu iddia ederek yalnızca Zoom'u kullanmakta ısrar ediyor.

Nasıl çalışır

Bağlantı tıklandığında kullanıcı, takılıp kalmış görünen bir yükleme ekranına sahip, kötü amaçlı ancak aynı görünümlü bir Yakınlaştırma sayfasına yönlendiriliyor.

Burada, "ZoomInstallerFull.exe" adlı bir dosya için bir indirme tetiklenir ve kullanıcıdan dosyayı yüklemesi istenir. Yükleme işlemi, bir şartlar ve koşullar sayfası bile göstererek orijinal görünüyor.

Yüklendiğinde kullanıcı, kötü amaçlı yükleme ekranına geri gönderilir ve bu ekran, kullanıcıları meşru bir Yakınlaştırma URL'sine yönlendirir. Bu arada, kötü amaçlı yazılım kurbanın sistemine zaten yüklenmiş durumda.

Başlangıçta, kötü amaçlı yazılım kendisini "Windows Defender dışlama listesine" ekler ve bu da güvenlik yazılımının onu engellemesini engeller. Daha sonra kullanıcı bilgilerini sistemden alır. Tüm süreç, kullanıcı sahte Zoom yükleme sayfasında takılıp kaldığında gerçekleştirilir.

Güvenlik uzmanına göre, dolandırıcılık halihazırda birçok kullanıcıdan 300.000 $ değerindeki parayı çekmiş durumda. Kullanıcıları sosyal medyada alınan bağlantılara tıklarken dikkatli olmaları ve herhangi bir yazılım indirmekten kaçınmaları konusunda uyardı.

Kripto sektörü gelişmeye devam ettikçe sosyal mühendislik dolandırıcılıkları daha karmaşık hale geliyor. 2 Temmuz'da dolandırıcılar, Ethereum Vakfı'nın resmi e-posta adresini hackledi ve 35.000'den fazla kullanıcıya kimlik avı e-postaları gönderdi.

Bu tür dolandırıcılıklar, yalnızca 2024'ün ilk yarısında EVM zincirlerinden 300 milyon dolar değerinde kripto para varlığının çalınmasına neden oldu.