Dolandırıcılar Inferno Drainer'ı Kullanarak CoinMarketCap Kullanıcılarından 43.000 Dolar Çaldı

CoinMarketCap kullanıcılarını hedef alan koordineli bir kripto hırsızlığı operasyonu, TheCommsLeaks olarak bilinen bir Telegram kanalından sızdırılan görüntülerin ortaya çıkmasının ardından ifşa edildi. Saldırı, CoinMarketCap'in kendi arayüzüne yerleştirilmiş ikna edici bir cüzdan bağlantı istemi kullanarak kullanıcıları cüzdanlarına erişimlerini vermeleri için kandırdı. Sonuç? Saatler içinde 43.000 dolardan fazla değerinde kripto fonu boşaltıldı.

Kanada merkezli siber suç istihbarat firması Flare.io'da Kıdemli Tehdit İstihbarat Araştırmacısı ve Sertifikalı Karanlık Web Araştırmacısı olan Tammy H'ye göre saldırı, daha önceki saldırılarda bağlantısı bulunan ve cüzdan boşaltma amacıyla kullanılan bilinen bir araç olan Inferno Drainer kullanılarak gerçekleştirildi.

Yöntem basit ama etkiliydi. CoinMarketCap'i ziyaret eden kullanıcılara, özelliklere erişmek için "Cüzdanınızı Doğrulayın" diyen bir uyarı sunuldu. Platformda görülen meşru açılır pencerelerle aynı görünüyordu ve kullanıcılara bundan şüphe etmeleri için hiçbir neden vermiyordu. Ancak, bağlandıktan sonra cüzdanlar, sahip oldukları varlıklardan sessizce boşaltıldı.

Sızıntıda alıntılanan bir kaynak, istemin sitedeki hemen hemen her sayfada göründüğünü iddia etti. "Her sayfada göründüğü yere koyun," yazıyordu bir mesajda. "Çoğu kişi siteyi oluşturdukları anda jetonları sabitler."

Saldırgan görünürlüğü artırmaya ve cüzdan bağlantılarını maksimize etmeye odaklanmış gibi görünüyor. Bazı raporlar, bağlantı düğmesinin bile çok fazla kez görüntülenmesi nedeniyle arızalanmaya başladığını öne sürüyor.

Tommy H'nin analizine göre, Telegram kanalı TheCommsLeaks, 20 Haziran'da yerel saatle 19:30 civarında ayrıntıları paylaşmaya başladı. Mesajlar, saldırganın kullandığı canlı bir gösterge panelini gösteren ekran görüntüleri içeriyordu. Bu görseller, cüzdan bağlantılarını, token transferlerini ve gerçek zamanlı olarak boşaltılan toplam değerleri gösteriyordu.

İlk sayılar 67 başarılı vuruş ve 1.300'den fazla cüzdan bağlantısı gösterdi. Ödeme ilk dalgada zaten 21.000 doları geçmişti. Kampanya sona erdiğinde, son kazanç 110 kurbandan çekilerek 43.266 dolara çıkmıştı.

Çalınan token'lar arasında SOL, XRP, EVT ve PENGU ve SHDW gibi daha küçük coin'ler yer alıyordu. 1.769$ değerinde XRP içeren bir işlem, BscScan'de görünen bir cüzdanla ilişkilendirildi ve hırsızlığın kamuya açık bir şekilde doğrulanması sağlandı.

Ancak araştırmacı her girişimin başarılı olmadığını belirtti. Saldırganın araç setinden alınan günlükler ayrıca, genellikle desteklenmeyen token'lar veya ihmal edilebilir bakiyeler tutan cüzdanlar nedeniyle birden fazla başarısız tahliye gösterdi.

Saldırının sahte bir alan adından gelip gelmediğine dair artan spekülasyonların ardından CoinMarketCap sorunu doğrudan ele aldı. Şirket, X'te yayınlanan bir açıklamada , ana sayfalarında görüntülenen bir doodle resminin gömülü bir API çağrısı aracılığıyla kötü amaçlı kodu tetiklediğini söyledi. Bu güvenlik açığı, bazı kullanıcılar için yetkisiz cüzdan isteminin görünmesine neden oldu.

Şirket, güvenlik ekibinin sorunu tespit ettikten hemen sonra yanıt verdiğini doğruladı. Kötü amaçlı içerik kaldırıldı ve daha fazla kötüye kullanımı önlemek için dahili sistemlere yama uygulandı.

Şirket, "Tüm sistemler artık tam olarak faaliyette ve CoinMarketCap tüm kullanıcılar için güvenli ve emniyetli" ifadelerini kullanarak durumu izlemeye ve destek sağlamaya devam ettiklerini sözlerine ekledi.

Bu olay, küçük arayüz değişikliklerinin, hatta bir ana sayfa doodle'ı gibi zararsız bir şeyi içerenlerin bile, nasıl büyük ölçekli hasara yol açabileceğini göstermeye devam ediyor. Kötü amaçlı istemleri dağıtmak için meşru bir platformun kendi ortamının kullanılması son derece endişe verici olsa da, tanıdık arayüzlere olan güvenin ne kadar kolay kötüye kullanılabileceğini yansıtıyor.

Hackread'in geçen hafta bildirdiği ayrı bir olayda, dolandırıcılar kullanıcıları Apple ve PayPal gibi gerçek web sitelerinde gösterilen sahte destek numaralarını aramaya kandırmak için arama reklamlarını kullandılar. Teknik olarak ilgisiz olsa da, her iki vaka da saldırganların çevrimiçi etkileşimde bulunmanın güvenli olduğu konusunda kullanıcı varsayımlarına nasıl güvendiğini gösteriyor.

Şimdilik, kullanıcıların cüzdanlara doğrudan pop-up'lar aracılığıyla bağlanmaktan kaçınmaları ve herhangi bir istemi platformun resmi kılavuzuna göre doğrulamaları tavsiye ediliyor. Bir şey tanıdık geliyorsa, bu her zaman güvenli olduğu anlamına gelmez.