Ana içeriğe atla
100.000 Geri Dönüş - Kötü Amaçlı Reklam Analizi
Araştırma • Okuma süresi: 5–7 dakika

$100K Returned — Malvertising Scam Foiled

Rus dolandırıcılar, kötü amaçlı reklamlar ve bilgi hırsızlığı amaçlı kötü amaçlı yazılımlar aracılığıyla bir kripto projesinin kimliğine büründüler. Bu operasyonu tespit ettik, cüzdan erişimini yeniden sağladık ve 100.000 doların üzerinde bir meblağı geri iade ettik. Geri kazanılan fazladan fonlar @_SEAL_Org’a bağışlandı. Aşağıda: ayrıntılı bilgi, IOC’ler ve çıkarılacak dersler yer almaktadır.

$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
İlk olarak şu tarihte yayınlanmıştır: Orta — PhishDestroy

Genel Bakış

Bir kripto para projesi, meşru bir reklam ortaklığı kılığına girmiş bir sosyal mühendislik saldırısının kurbanı oldu. PhishDestroy, cüzdan erişimini yeniden sağladı ve kayıpları telafi etti 100.000 doların üzerinde güvenliği ihlal edilmiş fonlarda, ardından bağımsızlığını korumak amacıyla sunulan ödülü harici bir kuruluşa yönlendirdi.

Bilmeniz Gerekenler

  • Cüzdan çoktan ele geçirilmişti; paralar çoktan aktarılmıştı.
  • Erişim yeniden sağlandı ve $100K+ saldırganın yanında kalması engellendi.
  • Proje bir ödül teklif etti; ancak bu teklif reddedildi ve yerine @_SEAL_Org bunun yerine.
  • Bu çalışma, ücretli bir iş olarak değil, bir operatörün kendi inisiyatifiyle bağımsız olarak yürütülmektedir.

Dolandırıcılık Nasıl İşliyordu?

  • Mağdur, bir kripto oyunuyla ilgili bir ortaklık/reklam teklifi aldı.
  • Saldırı inandırıcı görünüyordu: profesyonel bir web sitesi, X (Twitter) üzerinde sağlam bir varlık ve gerçek gibi görünen görüntülü görüşmeler.
  • Görüşmeler sırasında saldırganlar, belgelere erişmek için bir “işyeri görüntüleyicisi”nin yüklenmesini talep ettiler.
  • "Görüntüleyici" şuydu: çalma amaçlı kötü amaçlı yazılım.
  • Saldırganlar para çekti, zincirler arası token takası yaptı ve varlıkları kendi cüzdanlarına aktardı.

Alınan Önlemler

  1. Güvenlik ihlali teyit edildi ve ilerlemesi durduruldu.
  2. Cüzdanın erişimi, hak sahibi kişiye yeniden sağlandı.
  3. Saldırganın alıcı cüzdanının kontrolü ele geçirildi ve kurban ekibine devredildi.
  4. Kalan riski azaltmaya yönelik koordineli takip adımları.
Sonuç: Erişim yeniden sağlandı, kontrol geri kazanıldı, saldırganın erişimi engellendi.

Olay Sonrası Güvenlik Güçlendirme

Cihaz Güvenliği

  • Enfekte olmuş cihazların güvenli bir şekilde ele alınmasına yönelik adım adım kılavuz
  • Ağ izolasyonu, oturum iptali, kimlik bilgileri/anahtar rotasyonu, temiz yeniden kurulum planı

Operasyonel Yapılandırma

  • Cüzdan işlemlerine ayrılmış yeni ve temiz bir çalışma istasyonu
  • Taze işletim sistemi, yalnızca üretici kaynaklı indirmeler, donanım cüzdanı, minimum sayıda uzantı, ayrı tarayıcı profili, iki faktörlü kimlik doğrulama (2FA)

Adli Tıp Hazırlığı

  • Disk anlık görüntüleri ve sistem/uygulama günlüğü toplama kılavuzu
  • Olası hukuki soruşturma amacıyla delillerin muhafaza edilmesi

"Adverting" Kavramını Anlamak

Reklamcılık Bu, suçluların normal iş akışlarını (reklam satın alımları, ortaklıklar, halkla ilişkiler) taklit ederek kötü amaçlı "istemcilerin" yüklenmesini sağlamak için kullandıkları, iş dünyası tarzı bir sosyal mühendislik yöntemidir.

Sık görülen uyarı işaretleri:

  • "Reklam öğelerini senkronize etmek için reklam yöneticimizi/yardımcımızı yükleyin"
  • "Görüşme için özel Zoom/Telegram istemcimizi kullanın"
  • "Medya kitimizi/Gizlilik Anlaşmamızı güvenli bir görüntüleyici aracılığıyla açın"
Temel kural: Bilinmeyen kaynaklardan gelen bir iş akışı için özel bir istemci/görüntüleyici/güncelleyici gerekiyorsa, varsayılan olarak bunun düşmanca bir amaç taşıdığını varsayınız. Yalnızca resmi satıcıların sunduğu indirmeleri kullanınız.

Ödül ve Bağımsızlık

  • Proje, geri kazanılan tutarın başlangıçtaki kaybı aşması nedeniyle bir ödül sundu.
  • PhishDestroy ödülü almayı reddetti.
  • Fazlanın tamamı şu yere aktarıldı: @_SEAL_Org.
  • Bu sayede bağımsızlık korunur — herhangi bir finansman kaynağı ya da yükümlülük yoktur.

Temel İlkeler

  • Sadece bağımsızlık — bütçe ya da herhangi bir koşul yok.
  • Tartışmadan ziyade sonuç odaklı bir yaklaşım.
  • Her türlü “özel istemci”ye veya doğrulanmamış yazılıma karşı çıkılması.
  • Tehdit aktörlerine değil, mağdurlara yardımcı olan seçici bilgi paylaşımı.
  • Saldırganın altyapısına doğrudan baskı.

Pratik Öneriler

Projeler ve Ekipler İçin

  • Doğrulanmamış üçüncü tarafların işyeri görüntüleyicilerini/istemcilerini/güncelleyicilerini asla yüklemeyin.
  • Zoom ve Telegram uygulamalarını yalnızca resmi satıcı sitelerinden indirin.
  • Cüzdanlar, köprüler ve airdrop’larla ilgili sponsorlu bağlantılardan kaçının.
  • Çevrimdışı tohum depolama özelliğine sahip donanım cüzdanlarını tercih edin.
  • Güvenlik ihlali durumunda: oturumları iptal edin, fonları başka bir yere aktarın, anahtarları değiştirin, gizli bilgileri yeniden oluşturun ve derhal yardım isteyin.

Topluluk İçin

Sonuç

Fonlar çoktan aktarılmış olmasına rağmen, PhishDestroy erişim yeniden sağlandı ve saldırganın çalınan varlıkları elinde tutamamasını sağladı. Ödülü reddedip fazla fonları başka alanlara yönlendirerek, kuruluş hızlı ve etkili olay müdahalesine odaklanan, ücret almayan ve bağımsız operasyon modelini sürdürüyor.

#Adverting#WalletRecovery#StealerMalware#SocialEngineering#CryptoSecurity

Bu Araştırmayı Paylaş

X / Twitter Telegram Reddit LinkedIn

İlgili Soruşturmalar

Kripto Kimlik Avının Anatomisi: Tersine Mühendislik Yöntemiyle İncelenen 8 Gerçek Tohum İfadesi Çalma Yöntemi
KAPSAMLI SORUŞTURMA
Kripto Kimlik Avının Anatomisi: Tersine Mühendislik Yöntemiyle İncelenen 8 Gerçek Tohum İfadesi Çalma Yöntemi
$0 Takedowns: How We Disrupt Phishing Infrastructure
SORUŞTURMA
$0 Takedowns: How We Disrupt Phishing Infrastructure
Dolandırıcılar Ortaya Çıktı: 4 Dolandırıcılık Arka Ucu İncelendi
SORUŞTURMA
Dolandırıcılar Ortaya Çıktı: 4 Dolandırıcılık Arka Ucu İncelendi
Şeffaflık bildirimi. PhishDestroy, ticari amaç gütmeyen, bağımsız bir projedir. Araştırmalarımız, dolandırıcılık altyapısına ve bunu mümkün kılan hizmetlere karşı içsel bir önyargı içerebilir. Okuyucularımızı, tüm içerikleri eleştirel ve bağımsız bir bakış açısıyla değerlendirmeye davet ediyoruz. Şeffaflık beyanımızın tamamını okuyun →