Yaklaşık 2.000 hacklenen WordPress sitesi, ziyaretçileri cüzdanlarını otomatik olarak çalan kripto süzerlerine bağlamaya yönelik sahte NFT ve indirim açılır pencereleri sergiliyor.
Web sitesi güvenlik firması Sucuri geçen ay, bilgisayar korsanlarının kötüverizasyon ve YouTube videoları aracılığıyla teşvik ettikleri kripto süzerini tanıtmak için yaklaşık 1.000 WordPress sitesinden ödün verdiğini açıkladı.
Tehdit aktörlerinin orijinal kampanyalarında başarısız olduklarına ve ziyaretçilerin web tarayıcılarını diğer sitelerdeki yönetici şifrelerini zorlamak için araçlara dönüştürmek için tehlikeye atılan sitelerde haber komut dosyalarını dağıtmaya başladığına inanılıyor.
Bu saldırılar, Ekvador'un Özel Bankalar Derneği web sitesi gibi önemli örnekler de dahil olmak üzere yaklaşık 1.700 kaba zorlama alanından oluşan bir küme içeriyordu. Amaç, daha kapsamlı bir kampanyada para kazanabilecekleri yeterince büyük bir site havuzu oluşturmaktı.
Siber güvenlik araştırmacısı MalwarehunterTeam'e göre, tehdit aktörleri artık sahte NFT tekliflerini ve kripto indirimlerini tanıtan pop-up'ları sergilemek için site havuzundan para kazanmaya başladı.
Şu anda bu kripto drenajlarını gösteren kaç tehlike altına alınan sitenin göründüğü bilinmemekle birlikte, bir urlScan araması, 2.000'den fazla tehlikeye atılan web sitesinin son yedi gün içinde kötü amaçlı komut dosyalarını yüklediğini gösteriyor.
Hepsi şu anda kripto pop-up dolandırıcılık üretmiyor, ancak bu her an değişebilir.
Kötü amaçlı komut dosyaları, Sucuri'nin geçen ay gördüğü aynı url olan Dynamic-Linx [.] Com'dan yüklenir.
Bu komut dosyası belirli bir çerezi ("Haw") kontrol eder ve yoksa, aşağıda gösterildiği gibi web sayfasına kötü amaçlı komut dosyaları enjekte eder.
Kötü niyetli kod, kurbanları cüzdanlarını umut verici bir NFT nane için bağlamaya veya web sitesinde indirim almaya çağıran rastgele bir promosyon açılır penceresi görüntüler.
BleepingComputer, bu komut dosyalarını barındıran birden fazla siteyi test etti ve başlangıçta pop-up'larla cüzdanlara bağlanmaya çalışmayan bazı sorunlar olsa da, sonunda tekrar çalışmaya başladılar.
Connect düğmesini tıkladığınızda, komut dosyaları başlangıçta Metamask, Güvenli Cüzdan, Coinbase, Ledger ve Güven Cüzdan Cüzdanları için yerel destek görüntüler. Bununla birlikte, diğer birçok cüzdanı destekleyen ve hedefleme kapsamını önemli ölçüde genişleten 'calletconnect'i desteklerler.
Bir ziyaretçi Now Web3 sitesini cüzdanlarına bağladıktan sonra, kripto tahliyesi hesaptaki tüm fonları ve NFT'leri çalacak ve bunları tehdit aktörlerine gönderecektir.
Metamask'ın bu kötü niyetli komut dosyalarıyla enfekte olmuş web sitelerini ziyaret ederken bir uyarı göstereceğine dikkat edilmelidir.
Kripto drenajları, kripto para topluluğu için büyük bir sorun haline geldi, tehdit aktörleri iyi bilinen X hesaplarını hackliyor ve kötü amaçlı komut dosyalarını kullanan web sitelerini tanıtmak için AI videoları ve kötü niyetli reklamlar oluşturuyor.
Dijital varlıklarınızı kripto tahliyesi operatörlerine ve diğer siber suçlulara kaybetmekten kaçınmak için, cüzdanınızı yalnızca güvenilir platformlara bağlayın.
Bir web sitesinin yerleşik itibarından bağımsız olarak, özellikle bir web sitesinin birincil konusu veya tasarımıyla uyumlu olmadığında, beklenmedik pop-up pencerelerle dikkatli olmak ihtiyatlıdır.
Activision: 2FA'nın yakın zamanda kötü amaçlı yazılımlarla çalınan hesapları güvence altına almasını sağlayın
Apple App Store'da Sahte Deri Cüzdan Uygulaması Kripto S doğrulaması
Katmanslider wordpress eklentisinde kritik kusur 1 milyon siteyi etkiler
Kucoin, siber suçluların milyarları aklamasına izin veren AML ihlalleriyle suçlandı
ABD Yaptırımları Rus Darknet Pazarı tarafından kullanılan kripto borsaları, bankalar
Kaynak: Bleeping Computer