Bilgisayar korsanları, şifre çalan kötü amaçlı yazılımların yüklenmesine ve kripto para cüzdanlarının çalınmasına yol açan yeni bir Phantom güvenlik güncellemesi için uyarı veriyormuş gibi davranarak Solana kripto para birimi sahiplerine NFT’leri airdropla gönderiyor.
Devam eden bu saldırı, iki hafta önce ‘PHANTOMUPDATE.COM’ veya ‘UPDATEPHANTOM.COM’ başlıklı NFT’lerin, bu iddiayı Phantom geliştiricilerinin uyarıları olarak göndermesiyle başladı.
NFT’leri açarken, cüzdan sahiplerine yeni bir güvenlik güncellemesinin yayınlandığı ve indirip yüklemek için ekteki bağlantıya tıklamaları veya siteyi ziyaret etmeleri gerektiği söylenir.
Sahte Phantom güncellemesi NFT’deki uyarı, “Phantom, tüm kullanıcıların cüzdanlarını güncellemelerini gerektiriyor. Bu, mümkün olan en kısa sürede yapılmalıdır” diyor.
“Bunu yapmamak, Solana ağını kullanan bilgisayar korsanları nedeniyle para kaybına neden olabilir. En son güvenlik güncellemesini almak için http://www.updatePhantom.com adresini ziyaret edin.”
Bu siteleri herhangi bir cihazdan (masaüstü veya mobil) ziyaret ettiğinizde, site otomatik olarak Phantom_Update_2022-10-08.bat adlı bir Windows toplu iş dosyasını indirir. [VirusTotal] DropBox’tan. Önceki kampanyalar, Phantom_Update_2022-10-04.exe adlı yürütülebilir dosyaları indiriyordu.
Toplu iş dosyası başlatıldığında, Yönetici ayrıcalıklarıyla çalışıp çalışmadığını kontrol edecek ve değilse, izin isteyen bir Windows UAC istemi gösterecektir.
UAC istemi kabul edilirse, Windows’ta yürütülecek diğer komutların şifresini çözen bir PowerShell betiği başlatılır.
Sonuçta, bu bir windll32.exe yürütülebilir dosyasına yol açacaktır. [VirusTotal] GitHub’dan indiriliyor ve C:\Users\
VirusTotal’a göre, windll32.exe dosyası, geçmiş, tanımlama bilgileri ve parolalar gibi tarayıcı bilgilerinin yanı sıra SSH anahtarları ve diğer bilgileri çalmaya çalışan parola çalan bir kötü amaçlı yazılımdır.
Şu anda hangi parola çalan truva atının yayıldığı belli olmasa da, önceki kampanyalar lib64.exe dosya adını dağıtıyordu. [VirusTotal]olarak tanımlanan MarsHırsız.
MarsStealer, 2020’de piyasaya sürülen bilgi çalan bir kötü amaçlı yazılımdır ve tüm popüler web tarayıcılarından, iki faktörlü kimlik doğrulama eklentilerinden ve birden fazla kripto para birimi uzantısı ve cüzdanından veri çalar.
Bu kampanyanın amacı, muhtemelen tehdit aktörlerinin tüm kripto fonlarını çalmasına ve kurbana ait diğer hesapları tehlikeye atmasına izin verecek kripto para cüzdanlarını ve şifrelerini çalmak.
Sahte Phantom güvenlik güncellemesini yükleyen mağdurlar, bilgisayarlarını hemen bir virüsten koruma programıyla taramalı ve ardından mevcut Phantom cüzdanlarından kripto para ve varlıklarını yenisine aktarmalıdır.
Ardından, kurbanlar kullandıkları tüm sitelerde şifrelerini kripto para ticaret platformlarına, çevrimiçi cüzdanlara, banka hesaplarına, e-posta veya diğer hassas platformlara odaklanarak değiştirmelidir.
Sonuç olarak, mağdurlar, bir sitedeki kimlik bilgisi sızıntılarının diğer siteleri etkilemesini önlemek için ziyaret ettikleri her site için şifrelerini benzersiz bir şifreyle değiştirmelidir.