$100K Returned — Malvertising Scam Foiled
Rus dolandırıcılar, kötü amaçlı reklamlar ve bilgi hırsızlığı amaçlı kötü amaçlı yazılımlar aracılığıyla bir kripto projesinin kimliğine büründüler. Bu operasyonu tespit ettik, cüzdan erişimini yeniden sağladık ve 100.000 doların üzerinde bir meblağı geri iade ettik. Geri kazanılan fazladan fonlar @_SEAL_Org’a bağışlandı. Aşağıda: ayrıntılı bilgi, IOC’ler ve çıkarılacak dersler yer almaktadır.

Genel Bakış
Bir kripto para projesi, meşru bir reklam ortaklığı kılığına girmiş bir sosyal mühendislik saldırısının kurbanı oldu. PhishDestroy, cüzdan erişimini yeniden sağladı ve kayıpları telafi etti 100.000 doların üzerinde güvenliği ihlal edilmiş fonlarda, ardından bağımsızlığını korumak amacıyla sunulan ödülü harici bir kuruluşa yönlendirdi.
Bilmeniz Gerekenler
- Cüzdan çoktan ele geçirilmişti; paralar çoktan aktarılmıştı.
- Erişim yeniden sağlandı ve $100K+ saldırganın yanında kalması engellendi.
- Proje bir ödül teklif etti; ancak bu teklif reddedildi ve yerine @_SEAL_Org bunun yerine.
- Bu çalışma, ücretli bir iş olarak değil, bir operatörün kendi inisiyatifiyle bağımsız olarak yürütülmektedir.
Dolandırıcılık Nasıl İşliyordu?
- Mağdur, bir kripto oyunuyla ilgili bir ortaklık/reklam teklifi aldı.
- Saldırı inandırıcı görünüyordu: profesyonel bir web sitesi, X (Twitter) üzerinde sağlam bir varlık ve gerçek gibi görünen görüntülü görüşmeler.
- Görüşmeler sırasında saldırganlar, belgelere erişmek için bir “işyeri görüntüleyicisi”nin yüklenmesini talep ettiler.
- "Görüntüleyici" şuydu: çalma amaçlı kötü amaçlı yazılım.
- Saldırganlar para çekti, zincirler arası token takası yaptı ve varlıkları kendi cüzdanlarına aktardı.
Alınan Önlemler
- Güvenlik ihlali teyit edildi ve ilerlemesi durduruldu.
- Cüzdanın erişimi, hak sahibi kişiye yeniden sağlandı.
- Saldırganın alıcı cüzdanının kontrolü ele geçirildi ve kurban ekibine devredildi.
- Kalan riski azaltmaya yönelik koordineli takip adımları.
Olay Sonrası Güvenlik Güçlendirme
Cihaz Güvenliği
- Enfekte olmuş cihazların güvenli bir şekilde ele alınmasına yönelik adım adım kılavuz
- Ağ izolasyonu, oturum iptali, kimlik bilgileri/anahtar rotasyonu, temiz yeniden kurulum planı
Operasyonel Yapılandırma
- Cüzdan işlemlerine ayrılmış yeni ve temiz bir çalışma istasyonu
- Taze işletim sistemi, yalnızca üretici kaynaklı indirmeler, donanım cüzdanı, minimum sayıda uzantı, ayrı tarayıcı profili, iki faktörlü kimlik doğrulama (2FA)
Adli Tıp Hazırlığı
- Disk anlık görüntüleri ve sistem/uygulama günlüğü toplama kılavuzu
- Olası hukuki soruşturma amacıyla delillerin muhafaza edilmesi
"Adverting" Kavramını Anlamak
Reklamcılık Bu, suçluların normal iş akışlarını (reklam satın alımları, ortaklıklar, halkla ilişkiler) taklit ederek kötü amaçlı "istemcilerin" yüklenmesini sağlamak için kullandıkları, iş dünyası tarzı bir sosyal mühendislik yöntemidir.
Sık görülen uyarı işaretleri:
- "Reklam öğelerini senkronize etmek için reklam yöneticimizi/yardımcımızı yükleyin"
- "Görüşme için özel Zoom/Telegram istemcimizi kullanın"
- "Medya kitimizi/Gizlilik Anlaşmamızı güvenli bir görüntüleyici aracılığıyla açın"
Ödül ve Bağımsızlık
- Proje, geri kazanılan tutarın başlangıçtaki kaybı aşması nedeniyle bir ödül sundu.
- PhishDestroy ödülü almayı reddetti.
- Fazlanın tamamı şu yere aktarıldı: @_SEAL_Org.
- Bu sayede bağımsızlık korunur — herhangi bir finansman kaynağı ya da yükümlülük yoktur.
Temel İlkeler
- Sadece bağımsızlık — bütçe ya da herhangi bir koşul yok.
- Tartışmadan ziyade sonuç odaklı bir yaklaşım.
- Her türlü “özel istemci”ye veya doğrulanmamış yazılıma karşı çıkılması.
- Tehdit aktörlerine değil, mağdurlara yardımcı olan seçici bilgi paylaşımı.
- Saldırganın altyapısına doğrudan baskı.
Pratik Öneriler
Projeler ve Ekipler İçin
- Doğrulanmamış üçüncü tarafların işyeri görüntüleyicilerini/istemcilerini/güncelleyicilerini asla yüklemeyin.
- Zoom ve Telegram uygulamalarını yalnızca resmi satıcı sitelerinden indirin.
- Cüzdanlar, köprüler ve airdrop’larla ilgili sponsorlu bağlantılardan kaçının.
- Çevrimdışı tohum depolama özelliğine sahip donanım cüzdanlarını tercih edin.
- Güvenlik ihlali durumunda: oturumları iptal edin, fonları başka bir yere aktarın, anahtarları değiştirin, gizli bilgileri yeniden oluşturun ve derhal yardım isteyin.
Topluluk İçin
- Şüpheli faaliyetleri şu yolla bildirin: Telegram botumuz.
- Önemli eylem kılavuzlarına ve kaynaklara şu adresten erişebilirsiniz: phishdestroy.io/acil-önlem.
Sonuç
Fonlar çoktan aktarılmış olmasına rağmen, PhishDestroy erişim yeniden sağlandı ve saldırganın çalınan varlıkları elinde tutamamasını sağladı. Ödülü reddedip fazla fonları başka alanlara yönlendirerek, kuruluş hızlı ve etkili olay müdahalesine odaklanan, ücret almayan ve bağımsız operasyon modelini sürdürüyor.



