Sahte iş teklifleriyle kripto para hırsızlığı

Haber Merkezi fotoğrafı Haber Merkezi29 Eylül 2025
Siber Güvenlik
Siber Güvenlik

Siber güvenlik firması ESET Research’ün yayımladığı yeni rapor, DeceptiveDevelopment (diğer adıyla Contagious Interview) adlı tehdit grubunun sahte iş görüşmeleri ve ClickFix tekniğini kullanarak yazılım geliştiricilerinden kripto varlık çalmaya odaklandığını ortaya koydu. Raporda, grubun Windows, Linux ve macOS platformlarındaki geliştiricileri hedef aldığı ve operasyonlarında hem basit hem de modüler ileri düzey kötü amaçlı yazılımlar kullandığı vurgulandı.

Sahte iş teklifleri ve ClickFix taktiği

Araştırmaya göre saldırganlar LinkedIn, Upwork, Freelancer.com ve Crypto Jobs List gibi platformlarda sahte veya ele geçirilmiş işveren profilleri oluşturarak potansiyel kurbanlarla iletişim kuruyor. Adaylardan kodlama yarışmaları veya ön görüşme görevleri yapmaları istenirken, ClickFix adlandırılan sosyal mühendislik taktiğiyle kurbanlar sahte bir görüşme sitesine çekiliyor; son aşamada karşılaşılan “kamera hatası”nı düzeltme bahanesiyle verilen komutlar kötü amaçlı yazılımların indirilip çalıştırılmasına yol açıyor.

Hedefler ve kullanılan araçlar

DeceptiveDevelopment’ın öncelikli hedefi kripto para ve Web3 projelerinde çalışan geliştiriciler. Raporda BeaverTail, OtterCookie ve WeaselStore gibi bilgi hırsızları ile InvisibleFerret adlı modüler uzak erişim yazılımının (RAT) en sık görülen yükler arasında olduğu belirtildi. Ayrıca grup tarafından geliştirilen TsunamiKit ve Tropidoor gibi yeni araç setleri ile WeaselStore’un komut-komuta sunucusu (C&C) ve API işlevleri de detaylı şekilde tanımlandı.

Kuzey Koreli BT çalışanlarıyla bağlantılar

Raporda, DeceptiveDevelopment faaliyetleriyle Kuzey Koreli BT çalışanları arasında bağlantılar bulunduğuna dikkat çekildi. Açık kaynak istihbaratı (OSINT) ve telemetri verileri, kampanyaların bazı bileşenlerinin Nisan 2017’den bu yana devam eden daha geniş bir dolandırıcılık ve veri sızdırma çabasının parçası olabileceğini gösteriyor. Yetkililerin daha önce bildirdiği üzere bu tür çalışmalar, elde edilen gelirlerin rejim tarafından kullanılabileceği ve şirket içi verilerin şantaj amacıyla sömürülebileceği risklerini taşıyor.

Yapay zekâ ve ileri sahtecilik teknikleri

Araştırma, saldırganların profil resimleri ve özgeçmişlerde yapay zekâ tabanlı manipülasyonlara sıkça başvurduğunu; gerçek zamanlı görüşmelerde ise yüz değiştirme gibi tekniklerle sahte kimlikleri desteklediklerini ortaya koyuyor. Grup, Zoom, MiroTalk, FreeConference ve Microsoft Teams gibi platformları kullanan proxy mülakatlar aracılığıyla hem kurumsal hem de bireysel hedeflere ulaşabiliyor.

Riskler ve savunma önerileri

Raporda kurumlara ve geliştiricilere şu önlemler öneriliyor: iş tekliflerini doğrulamak için çoklu kaynak kullanımı; üçüncü taraf kod ve görevlerin yalnızca güvenilir ortamda test edilmesi; şüpheli komutların çalıştırılmaması; uzaktan görüşmelerde kimlik doğrulama adımlarının sıkılaştırılması; ve kritik varlıklar için çok faktörlü kimlik doğrulamanın zorunlu hale getirilmesi. Uzmanlar, sahte işe alım süreçlerinin hem finansal zarar hem de tedarik zinciri güvenliği açısından ciddi risk oluşturduğunu belirtiyor.

Virus Bulletin konferansında paylaşıldı

ESET Research tarafından hazırlanan bulgular, yıllık Virus Bulletin konferansında paylaşıldı. Rapor, DeceptiveDevelopment’ın ilkel yöntemlerden sofistike, AI destekli aldatmacalara geçişini ve grup ile bilinen diğer Kuzey Kore bağlantılı araçlar arasında gözlemlenen teknik benzerlikleri belgeleyerek hem bireysel geliştiriciler hem de kuruluşlar için uyarı niteliği taşıyor. Kurumsal güvenlik ekiplerinin bu tür sosyal mühendislik odaklı kampanyalara karşı tetikte olması gerektiği vurgulanıyor.

Haber Merkezi fotoğrafı Haber Merkezi29 Eylül 2025