카스퍼스키, kripto para yatırımcılarını hedef alan yeni kötü amaçlı yazılım ‘OkoBot’ konusunda uyardı. Yeni çerçeve, *cüzdan* dosyalarını, *tarayıcı* verilerini ve *hesap kimlik bilgilerini* çaldıktan sonra, uzaktan erişimle doğrudan varlıkların ele geçirilmesini hedefliyor. Kaspersky’nin 24’ünde (yerel saatle) yayımladığı rapora göre OkoBot, kripto para yatırımcıları ve *web3* ekosistemindeki geliştiriciler için giderek büyüyen bir tehdit haline geliyor.
Raporlara göre OkoBot, *ClickFix* gibi ‘sosyal mühendislik’ yöntemleri ya da kötü amaçlı olarak değiştirilmiş *GitHub* uygulamaları üzerinden bulaşmayı başlatıyor. Kullanıcı, kendisine gönderilen komutları bizzat çalıştırmaya ya da zararlı kod içeren kurulumu ‘normal bir uygulama’ sanarak açmaya ikna ediliyor. Kaspersky, bu kötü amaçlı yazılım ailesiyle bağlantılı çok sayıda saldırıyı ocak ayından bu yana tespit ettiğini belirtiyor.
OkoBot, *cüzdan* uygulamalarına ilişkin yerel dosyaları, *tarayıcı* geçmişi ve *oturum açma* bilgilerini toplayabiliyor; ayrıca zararlı tarayıcı eklentileri enjekte edebiliyor. Bunun yanında, cüzdan uygulamalarının pencerelerini ekran görüntüsü alarak hassas bilgileri dışarı sızdırma fonksiyonuna da sahip. Kaspersky’ye göre bu çerçeve, ilk kez 2025’te ortaya çıkan ‘TookPS’ kampanyasının evrilmiş bir versiyonu. ‘Yorum’ Bu tarih bilgisi, mevcut kamu kaynaklarıyla çelişebileceği için ek doğrulama gerektirebilir. yorum Eski kampanyalarda sahte yazılım siteleri üzerinden daha dağınık yürütülen saldırıların, OkoBot ile birlikte daha sistematik ve organize bir hale geldiği vurgulanıyor.
Yeni saldırı dalgasının en dikkat çekici yönlerinden biri, yaklaşık 20 farklı zararlı bileşenin tamamının *SSH tüneli* üzerinden kontrol edilmesi. Bu yapı sayesinde, enfekte edilen bilgisayardaki veriler saldırganların yönetimindeki uzak sunuculara dolaylı olarak aktarılıyor ve güvenlik çözümlerinin trafiği tespit etmesi zorlaşıyor. ‘Yorum’ Uzmanlar, SSH tünelleme altyapısının saldırı senaryosunu genelleştirmeyi kolaylaştırdığı, dolayısıyla benzer kopya kampanyaların hızla çoğalabileceği görüşünde. yorum
Kaynak: 24’ünde (yerel saatle) yayımlanan Kaspersky raporu
Kripto yatırımcılarının yanında *web3* geliştiricileri de bu yeni dalganın hedefinde. Blockchain güvenlik şirketi SlowMist’e göre saldırganlar, *LinkedIn* üzerinden web3 işe alım uzmanı gibi davranarak geliştiricilerle iletişime geçiyor. Ardından, “mülakat öncesi teknik doğrulama” bahanesiyle sahte bir GitHub deposunun bağlantısını paylaşıyorlar.
Bu senaryoda süreç, adeta gerçek bir teknik mülakat akışını taklit ediyor: Geliştiriciden projeyi indirmesi, bağımlılıkları kurması ve örnek uygulamayı çalıştırması isteniyor. ‘Yorum’ Gerçeğe oldukça benzeyen bu akış, kurbanın şüphe duymasını geciktiriyor. yorum Bu esnada zararlı bileşenler *uzaktan erişim truva atı* (RAT) gibi davranarak, proje anahtarları, bulut servislerine ait kimlik bilgileri ve cüzdan uzantılarından gelen verileri ele geçirmeye çalışıyor.
SlowMist, bu tür sahte iş ilanı saldırılarının “tek seferlik” olmadığını, tam tersine sistematik bir kampanyaya dönüştüğünü vurguluyor. Açıklamaya göre *işe alım*, *kod inceleme* ve *uzaktan iş birliği* gibi geliştiricilerin günlük rutini haline gelen süreçler, saldırganlar için yeni bir saldırı yüzeyi olarak kullanılıyor. Son dönemde macOS kullanıcılarını hedef alan ayrı bir kötü amaçlı yazılım kampanyasının da raporlanması, tehdit alanının sadece yatırımcılarla sınırlı kalmayıp tüm geliştirici ekosistemine yayıldığını gösteriyor.
Kripto para piyasası toparlanma eğilimini sürdürürken, saldırganların stratejisinde de belirgin bir kayma yaşanıyor. Koruması giderek güçlenen *cüzdan* altyapıları yerine, önce ‘*insan*’ hedefleniyor. Özellikle *geliştirici işe alımı* ve *proje iş birlikleri* kılıfıyla yürütülen saldırıların artması, ‘güvenlik farkındalığını’ ve ‘operasyonel güvenliği’ kripto varlıkların korunmasında ana belirleyici hale getiriyor. Bu tablo, yatırımcıların ve geliştiricilerin yalnızca teknik önlemlere değil, kimlerle ve hangi kanallar üzerinden etkileşim kurduklarına da aynı derecede dikkat etmeleri gerektiğini ortaya koyuyor.
Yorum 0