Geçtiğimiz günlerde Google Chrome’da keşfedilen 0 günlük zafiyet, Kuzey Koreli saldırganların kripto yatırımcılarını hedef aldığı ve milyonlarca TL çalındığı ortaya çıktı. Microsoft, Diamond Sleet ve Citrine Sleet adlı iki grubun bu zafiyeti kullanarak uzaktan kod çalıştırma (RCE) yeteneği kazandığını ve kripto para cüzdanlarını hedef aldığını açıkladı.
Chrome Açığı ve Kripto
Güvenmediğiniz internet siteleri ve uygulamalardan uzak durmanız gerektiğini her zaman vurguluyoruz. Ücretli antivirüs yazılımları, web trafiğinizin güvenliğini sağlama konusunda önemli bir rol oynar. Antivirüsler her zaman koruma sağlayamasa da, sizi ortaya çıkmış tuzaklardan büyük ölçüde uzak tutar.
Kripto Para Yatırımcıları Hedef Alındı
Microsoft, Kuzey Koreli saldırganların Chromium’da CVE-2024-7971 olarak tanımlanan sıfırıncı gün açığından yararlanarak kripto para sektörünü hedef aldığını belirtti. Bu zafiyet, saldırganların uzaktan kod çalıştırma yeteneği kazanmasını sağladı.
Saldırı Senaryosu
Citrine Sleet’in gerçekleştirdiği saldırıda, hedefler kontrol edilen voy****club[.]space saldırı adresine yönlendirildi. Sosyal mühendislik yöntemleriyle (trade veya kripto cüzdan uygulaması vaadi) kullanıcılar bu adrese yönlendirildiler. Bağlantı kurulduğunda, CVE-2024-7971’in sıfır gün RCE istismarı kullanıldı.
Güvenlik Açığı Nasıl Kullanıldı?
RCE istismarı, Chromium render işleminde kod yürütmeyi başardıktan sonra, Windows korumalı alan kaçış istismarı ve FudModule rootkit içeren Shellcode indirildi. Sandbox kaçışı, Microsoft’un 13 Ağustos 2024’te düzelttiği CVE-38106 güvenlik açığından yararlanarak gerçekleştirildi.
Google Chrome bu açığı (21 Ağustos günü) yamadı ve 60 gün içinde detaylı açıklama yapması bekleniyor. Tarayıcınızı her zaman güncel tutun ve şüphecilikten uzak durun. Kuzey Koreli saldırganlar artık çok daha hedef odaklı saldırılar yapıyor ve bu tarz sıfırdan tespit edilen açıklar onların işini kolaylaştırıyor. Saldırganların bu zafiyet sayesinde mağdur ettiği kripto para yatırımcılarına dair henüz kapsamlı bir rapor yayınlanmadı. Ayrıca sistemlerini halen güncellememiş olanlar potansiyel hedef olarak kalmaya devam ediyor.
