Symbiotic X hesabı iki gündür bir kimlik avı sitesinin reklamını yapıyor ve araştırmacılar görüntü dosyalarında kötü amaçlı yazılım buldu.
Başlıklar
Haftanın Phish’i: Symbiotic X Hesabı Tehlikeye Girdi
PeckShield’ın bir raporuna göre, Symbiotic X staking protokolü için X hesabı 5 Ekim’de hacklendi. Ekibin resmi web sitesinde, hesabın 7 Ekim itibarıyla hala tehlikeye girdiği belirtildi.
Tehdit altındaki hesap bir “puan” kontrol listesi sunuyor ve kullanıcılardan kaç puanları olduğunu kontrol etmek için bir bağlantıya tıklamalarını istiyor. Ancak bağlantı, doğru olan symbiotic.fi yerine yanlış URL’ye, network-symbiotic[.]fi’ye yönlendiriyor.
Kullanıcılar sahte kimlik avı sitesine bir cüzdanla bağlandıklarında, Symbiotic X protokolüyle hiç etkileşime girmemiş olsalar bile binlerce puan kazandıklarını iddia eden bir sayfayla karşılaşıyorlar.
Sayfa, kullanıcıları puanlarını hemen kullanmaya teşvik ediyor ve ekranın ortasındaki büyük, yeşil “kullan” düğmesine tıklamazlarsa kaybedeceklerini iddia ediyor.
Boş bir cüzdanla “Puanları Kullan” düğmesine basmak, kullanıcının farklı bir cüzdan denemesi gerektiğini belirten bir hata mesajıyla sonuçlanır; kimlik avı sitelerinde mesaj imzaları isteyen standart bir hata mesajı bulunur.
Bir kullanıcının cüzdanında Symbiotic token’ları varsa, site muhtemelen kullanıcıdan bir mesajı imzalamasını ister ve bu mesaj daha sonra kullanıcının token’larını boşaltmak için kullanılır. Cointelegraph, uygulamayı içinde para bulunan bir cüzdanla test etmedi.
Symbiotic X ekibi, resmi internet sitesinden kullanıcıları X cihazının tehlikeye girdiği ve kullanıcıların hesapla bağlantılı hiçbir siteyle etkileşime girmemeleri gerektiği konusunda uyarıyor.
X hesabı hack’leri kripto alanında rutin bir sorun haline geldi. Kullanıcılar, sık kullandıkları uygulamaların URL’lerini yer imlerine eklemeyi düşünmelidir, çünkü bu genellikle X bağlantılarına güvenmekten daha güvenilir bir doğru web sitesine gitme yoludur, ancak %100 kusursuz da değildir. Kullanıcılar, kodla yazılmış bir mesajı imzalamaları istendiğinde özellikle dikkatli olmalıdır, çünkü bu genellikle, ancak her zaman değil, bir kimlik avı saldırısının işaretidir.
Kötü Amaçlı Yazılım Köşesi: Saldırganlar Artık Kurbanları Cezbetmek İçin SVG Dosyaları Kullanıyor
HP’nin Wolf Security ekibinin Eylül ayındaki raporuna göre, saldırganlar artık kurbanların bilgisayarlarına bulaşmak için SVG resim dosyalarını kullanıyor.
Yazılım yüklendikten sonra saldırganlar bunu kurbanın web sitesi parolalarını, başlangıç sözcüklerini ve diğer kişisel bilgilerini çalmak için kullanıyor. Kullanıcı kripto para birimine sahipse, bu kimlik bilgileri daha sonra kullanıcının cüzdanına erişmek ve onu boşaltmak için daha fazla girişimde kullanılıyor.
Araştırmacılar, kötü amaçlı yazılımın bir tarayıcıda görüntü açıldığında yüklenen bir ZIP arşivi olarak gizlendiğini buldular. Ayrıca, kötü amaçlı program arka planda indirilirken ve yüklenirken kurbanın dikkatini dağıtmak için yüklenen bir .pdf dosyası da içeriyordu.
Adobe’ye göre Ölçeklenebilir Vektör Grafikleri (SVG) dosyaları, pikseller yerine “bir ızgaradaki noktalara ve çizgilere dayalı matematiksel formüller aracılığıyla” görüntüleri depolar. Bu, kalitelerini kaybetmeden kolayca yeniden boyutlandırılabilecekleri anlamına gelir. Ayrıca, metinleri kendi içlerinde depolamalarına olanak tanıyan XML kodunda yazılırlar.
Mozilla’ya göre, SVG dosyaları ayrıca geliştiricilerin içlerine yürütülebilir programlar yerleştirmelerine olanak tanıyan bir “komut dosyası” öğesi içerir. Kötü amaçlı yazılım geliştiricilerinin kötüye kullanmayı öğrendikleri bildirilen bu komut dosyası oluşturma yeteneğidir.
HP araştırmacıları, bir tarayıcıda açıldığında bir ZIP arşivi üreten bir görüntü buldular. Kullanıcı arşive tıklarsa, bir Dosya Gezgini penceresi açılır ve bir kısayol dosyası indirmeye başlar.
Kısayola tıklandığında, kurbanın ekranına bir sahte .pdf dosyası yüklenir. Bu arada, cihaz çeşitli komut dosyalarını kopyalamaya ve bunları kurbanın müzik, fotoğraf ve başlangıç dizinlerine depolamaya başlar ve böylece programın zaman içinde kalıcı olmasını sağlar.
Bu betikleri cihaza kopyaladıktan sonra çalıştırır. Sonuç olarak VenomRAT, AsyncRAT, Remcos ve XWORM gibi bir dizi tehlikeli kötü amaçlı yazılım programı kullanıcının cihazına yüklenir. Kötü amaçlı yazılım yüklendikten sonra saldırgan kurbanın bilgisayarının tam kontrolünü ele geçirebilir ve içinde tutulan tüm dosyaları çalabilir.
Bu yeni saldırı vektörü göz önüne alındığında, kripto kullanıcıları tamamen güvenmedikleri kaynaklardan gelen SVG resim dosyalarıyla etkileşim kurarken dikkatli olmalıdır. Açıldığında, bir resim başka türde dosyalar yüklüyorsa, kullanıcılar tarayıcı penceresini kapatarak bu dosyaları reddetmeyi düşünmelidir.
Fire Token İstismarı, Yeni Tokenların Risklerini Gösteriyor
Yeni özelliklere ve denetlenmemiş sözleşmelere sahip yeni tokenlar satın almak genellikle risklidir; bu, 1 Ekim’de FIRE tokenına olanlarla da gösterilmiştir.
Bir saldırgan tokenın sözleşmesini istismar ederek her seferinde daha yüksek bir fiyata sattıktan sonra token için Uniswap havuzunun neredeyse tüm likiditesi boşaltıldı.
Saldırıdan sonra token ekibi hemen sosyal hesaplarını sildi ve ortadan kayboldu; bu da projenin başından beri bir rug pull veya çıkış dolandırıcılığı olabileceğini ima ediyor.
Token 2 Ekim’den beri işlem görmüyor, bu da onun için o kadar az likidite olabileceği ve satılmasının imkansız olabileceği anlamına geliyor.
FIRE yatırımcılarına sunulan fikir basitti. Web sitesine göre, “ultra-hiper-deflasyonist bir tokendı.” Sahipler FIRE’larını token’ın Uniswap likidite havuzuna sattıklarında, otomatik olarak bir yakıcı adresine gönderilecekti. Bu, token arzının azalmasına ve satmayanların elindeki FIRE’ın değerinin artmasına neden olacaktı.
Token, 1 Ekim’de sabah 8:00’de UTC’de piyasaya sürüldü. Piyasaya sürülmesinden yaklaşık 90 saniye sonra, 1e2e’de sona eren bir hesap, token’ın likidite havuzundan 2.441,63 dolar değerinde 22.000 dolar değerinde Ether ETH sembolü çekti.
Bunu başarmak için önce Spark Protocol adlı kredi platformundan 20 ETH’lik bir anlık kredi aldı. Daha sonra ETH’yi FIRE ile Swap eden, sonra geri Swap eden kötü amaçlı bir sözleşme oluşturdu ve bu süreçte yeni edinilen FIRE’ı yok etti ve fiyatını yükseltti.
Bu işlem, her transfer tek bir işlemin parçası olacak şekilde 16 farklı akıllı sözleşme aracılığıyla 122 transferle tekrarlandı. FIRE, ETH ile her Swap edildiğinde, karşılığında biraz daha fazla miktarda ETH alındı. Sonuç olarak, saldırgan havuzdaki 22.000 dolar değerindeki ETH’yi boşaltabildi. Ayrıca, bu işlem 230 FIRE token’ını yok etti.
“ABD Ajansı Kripto Para Meraklısı Trinity Fidye Yazılımına Karşı Uyardı” adlı yazımıza buradan ulaşabilirsiniz.