imToken 2016'daki lansmanından bu yana 150'den fazla ülkede 20 milyonun üzerinde kullanıcıya ulaştı. Marka yalnızca mobil uygulama olarak faaliyet gösteriyor ve resmi olarak hiçbir zaman Chrome uzantısı yayınlamadı.
Eklenti zararsız bir renk aracı gibi görünüyor
Kötü amaçlı eklenti geliştiriciler ve dijital sanatçılar için tasarlanmış zararsız bir onaltılık renk görselleştirici görünümü taşıyor. Asıl amacı ise yaygın olarak kullanılan emanetçi gerektirmeyen cüzdan markası imToken'ı taklit etmek. Eklenti yüklendikten sonra otomatik olarak saldırısını başlatıyor ve kullanıcı simgesine her tıklandığında işlemi tekrarlıyor. Socket'in araştırması kötü amaçlı mağaza listelemesinin anında güven oluşturmak için sahte 5 yıldızlı kullanıcı yorumları ve resmi cüzdan temalı marka görselleri sunduğunu ortaya koydu. Eklenti ayrıca veri toplama yapılmadığını iddia eden sahte bir gizlilik politikası da içeriyor. Bu politika kurban kodu incelemeden önce bile meşru bir izlenim yaratmayı hedefliyor. Uzantı kimliği bbhaganppipihlhjgaaeeeefbaoihcgi olarak kayıtlı.
Kiril ve Yunan harfleriyle güvenlik filtreleri aşılıyor
Tehdit aktörleri otomatik tespit araçlarını ve manuel incelemeyi atlatmak için gelişmiş kaçınma teknikleri kullanıyor. Kötü amaçlı yazılım uzantının içine açık hırsızlık mantığı yerleştirmek yerine hafif bir tarayıcı yönlendirici olarak çalışıyor. Kurulum sırasında arka plan JavaScript'i harici bir JSONKeeper yapılandırma uç noktasından hedef URL'yi sessizce alıyor. Kurban ardından chroomewedbstorre-detail-extension.com adlı sahte alan adında barındırılan bir kimlik avı sitesine yönlendiriliyor. Saldırganlar basit metin eşleştirmeyi ve URL tabanlı güvenlik filtrelerini atlatmak için karma yazı sistemli Unicode homoglifleri kullanıyor. Kimlik avı sayfasında imToken yerine Kiril ve Yunan harfleriyle oluşturulmuş іmФоken başlığı yer alıyor. Bu yöntem standart güvenlik taramalarını kolaylıkla yanıltıyor.
Kurtarma ifadesini giren kullanıcı tüm varlıklarını kaybedebilir
Kimlik avı sayfasına giren kullanıcıya gerçek uygulamayı birebir yansıtan inandırıcı bir cüzdan içe aktarma arayüzü sunuluyor. Kurbanlardan 12 veya 24 kelimelik kurtarma ifadelerini ya da özel anahtarlarını doğrudan tehdit aktörünün altyapısına girmeleri isteniyor. Bu bilgilerin girilmesi saldırganlara ilgili kripto para fonları üzerinde anında ve tam kontrol sağlıyor. Kimlik avı iş akışı ardından sahte bir yerel parola kurulum ekranına geçerek meşru işe alım sürecini taklit ediyor. Son aşamada sayfa sahte bir cüzdan yükseltme ekranı gösterdikten sonra kullanıcıyı gerçek token.im sitesine yönlendiriyor. Kurtarma ifadesini veya özel anahtarını şüpheli bir sayfaya giren kullanıcılar cüzdanlarının tamamen tehlikeye girdiğini kabul etmeli. Etkilenen kullanıcılar kalan tüm dijital varlıklarını derhal yeni oluşturulmuş bir cüzdana aktarmalı.
Henüz hiç yorum yapılmamış. İlk yorumu sen yap!
