ESET’ten Uyarı: Sahte İş Teklifleriyle Kripto Para Tuzağı – DeceptiveDevelopment Operasyonu!
Siber güvenlik devi ESET Research, Kuzey Kore bağlantılı DeceptiveDevelopment grubunun sahte iş teklifleri üzerinden yürüttüğü kripto para hırsızlıklarını detaylandıran kapsamlı bir araştırma yayımladı. Rapora göre, grup sahte iş görüşmeleri ve ClickFix adı verilen sosyal mühendislik yöntemiyle kötü amaçlı yazılımlar dağıtarak kripto cüzdanlarını hedef alıyor. Ayrıca, olası bir ikincil amaç olarak siber casusluk faaliyetleri de yürütülüyor.
Araştırma, sahte işe alım süreçlerinde yer alan Kuzey Koreli BT çalışanlarının da bu dolandırıcılık zincirinde önemli bir rol oynadığını ortaya koyuyor. Bu kişiler, LinkedIn, Upwork, Freelancer ve Crypto Jobs List gibi platformlarda gerçek görünümlü sahte profiller oluşturarak kurbanlarını kandırıyor.
Bihaber İçerik
- 1 Kuzey Kore bağlantılı siber dolandırıcılık ağının yükselişi
- 2 ClickFix yöntemiyle geliştiricilere tuzak kuruluyor
- 3 Kuzey Koreli BT çalışanları da sistemin bir parçası
- 4 ESET’ten uyarı: “Gelişmiş sosyal mühendislik taktiklerine dikkat”
- 5 DeceptiveDevelopment’ın yeni silahları: InvisibleFerret ve BeaverTail
Kuzey Kore bağlantılı siber dolandırıcılık ağının yükselişi
ESET, “Contagious Interview” olarak da bilinen DeceptiveDevelopment grubunun 2023’ten bu yana aktif olduğunu ve kripto para ile Web3 projelerinde çalışan geliştiricileri hedef aldığını bildiriyor. Grup, Lazarus’un “DreamJob” operasyonuna benzer biçimde sahte işe alım süreçlerinde truva yazılımları içeren kod tabanları sunarak sistemlere sızıyor.
Kullanılan kötü amaçlı yazılımlar arasında BeaverTail, OtterCookie, WeaselStore bilgi hırsızları ve InvisibleFerret uzaktan erişim aracı (RAT) öne çıkıyor.
ClickFix yöntemiyle geliştiricilere tuzak kuruluyor
Saldırganlar, sahte iş görüşmesi siteleri aracılığıyla hedef kişilere ayrıntılı başvuru formları doldurtuyor. Son adımda, video yanıt kaydı istenirken sistem “kamera hatası” veriyor ve kullanıcıya “Nasıl düzeltilir” bağlantısı sunuluyor. Bu bağlantı, görünürde bir çözüm sunsa da gerçekte kötü amaçlı yazılım indirip çalıştırıyor.
Kuzey Koreli BT çalışanları da sistemin bir parçası
ESET’in OSINT verileri ve sahte özgeçmiş analizleri, bu sahte BT çalışanlarının özellikle ABD ve Avrupa’da iş bulmaya çalıştığını gösteriyor. Yapay zekâ destekli fotoğraf manipülasyonu ve yüz değiştirme teknolojileri ile kimliklerini gizleyen bu kişiler, Zoom ve Teams gibi platformlarda gerçek kişileri taklit ediyor.
Uzmanlara göre, bu tür sahte işe alım operasyonları yalnızca maddi zarara yol açmakla kalmıyor; aynı zamanda şirket içi verilerin sızdırılması ve iç tehdit riski oluşturuyor.
ESET’ten uyarı: “Gelişmiş sosyal mühendislik taktiklerine dikkat”
ESET araştırmacısı Peter Kálnai, saldırganların “yüksek düzeyde teknik bilgiye sahip kişilerden oluştuğunu” ve “AI destekli sosyal mühendislik teknikleriyle hedeflerine kolayca ulaşabildiklerini” belirtiyor.
Kálnai ayrıca, Kuzey Koreli BT çalışanlarının faaliyetlerinin “geleneksel suç ve siber suçun birleşimi” olduğunu vurgulayarak, kimlik hırsızlığı, sentetik kimlik sahtekârlığı ve dijital dolandırıcılık risklerine dikkat çekti.
DeceptiveDevelopment’ın yeni silahları: InvisibleFerret ve BeaverTail
ESET’in yayımladığı “DeceptiveDevelopment: İlkel kripto hırsızlığından sofistike AI tabanlı aldatmacaya” başlıklı makale, grubun en gelişmiş iki araç setini analiz ediyor. Araştırma, ayrıca Tropidoor arka kapısı ile Lazarus grubunun PostNapTea RAT aracı arasındaki benzerlikleri ortaya koyarak, Kuzey Kore kaynaklı siber tehditlerin ortak altyapı üzerinden geliştiğini gösteriyor.
Tuğba Kayacı, Bihaber.tr’nin dünya haberleri editörü olarak, küresel olayları ve uluslararası ilişkileri derinlemesine analiz eden bir gazeteci olarak tanınır. Yıllar süren saha tecrübesi ve geniş uluslararası bağlantıları sayesinde, dünya çapındaki gelişmeleri hızlı ve güvenilir bir şekilde okuyucularımıza ulaştırır. Tarafsızlığı ve objektif bakış açısı, Tuğba’yı dünya haberlerinde ön plana çıkaran en önemli özelliklerindendir.
