Kuzey Karolina'nın Ünlü Chollima'ları İş Dolandırıcılığında BeaverTail ve OtterCookie Kötü Amaçlı Yazılımlarını Kullanıyor
Cisco Talos'un yakın zamanda yayınladığı bir rapora göre, Kuzey Kore bağlantılı bilgisayar korsanlığı grubu Famous Chollima, sahte iş teklifleri kullanarak kurbanlarını kötü amaçlı yazılım yüklemeleri ve kripto para birimlerini ve kullanıcı kimlik bilgilerini çalmaları için kandırarak iş piyasasını bir kez daha istismar ediyor.
Tehdit, Cisco Talos'un işlevlerini birleştirdiğini tespit ettiği BeaverTail ve OtterCookie adlı iki kötü amaçlı yazılım ailesinden geliyor. Bu, saldırganların gelecekteki saldırı kampanyaları için araçlarını birleştirdiklerini gösteriyor.
Cisco Talos, Sri Lanka merkezli bir kuruluşta bir sisteme virüs bulaşmasının ardından bu saldırıyı tespit etti . Enfeksiyon süreci, bir kullanıcının Chessfi gibi Truva atı yüklü bir uygulama yüklemeye ikna edilmesiyle başlıyor. Kullanıcı, "npm install" komutunu çalıştırarak " node-nvm-ssh " adlı gizli bir kötü amaçlı paketi indiriyor.
Bu paket, karmaşık bir komut dizisini yürütmek için özel talimatlar kullanır ve son olarak, birleştirilmiş BeaverTail ve OtterCookie kodunu içeren, aşırı derecede gizlenmiş dosyayı yükler.
Kötü amaçlı yazılımın evrimi , veri hırsızlığı yeteneklerinde belirgin bir artış olduğunu gösteriyor; ilk sürümler (Eylül-Kasım 2024 (V1)) tarayıcı profillerini çalmaya odaklanırken, V2 (Kasım 2024-Şubat 2025) pano içeriğini çalmak için bir modül ekledi. Ardından, V3 (Şubat-Nisan 2025) tüm takılı disk sürücülerinden belirli dosyaları çalmaya başladı.
Ancak en endişe verici gelişme, V5 olarak adlandırılan ve artık güçlü yeni özellikler içeren OtterCookie'nin en son sürümüdür (Nisan ve Ağustos 2025 arasında yayınlanmıştır). Bu sürüm, her tuş vuruşunu kaydeden bir tuş kaydı modülü ve kullanıcının masaüstünün ekran görüntüsünü her dört saniyede bir alan bir ekran görüntüsü modülü ekliyor. Tuş vuruşları ve görüntüler daha sonra bilgisayar korsanının komuta ve kontrol (C2) sunucusuna yükleniyor.
Bu kampanyanın temel amacı, özellikle popüler kripto para tarayıcı eklentileri ve cüzdanlarından oluşan uzun bir listeyi hedef alarak finansal verileri çalmak. Bildiğimiz kadarıyla, bir kullanıcının kripto varlıkları yalnızca cüzdan güvenliği kadar güvendedir ve OtterCookie, MetaMask , Trust Wallet, Binance Chain Wallet (BAKA BEW lite) ve diğerleri gibi güvenli hesapları hedef almak üzere tasarlandığından, kampanya tam da bu noktada sinsi bir hal alıyor.
Araştırmacılar ayrıca, saldırganların temel işlevleri kötü amaçlı yazılımın ana JavaScript koduna entegre etmeye başladığını ve bu sayede Python gibi diğer programlama araçlarına olan bağımlılığın azaldığını belirtiyor. Bu durum, saldırıları daha çok yönlü ve dağıtımı daha kolay hale getiriyor ve özellikle kripto para uzantısı hırsızı için Google Chrome ve Brave gibi popüler tarayıcıları hedef alıyor.
Bu hayati önem taşıyan araştırma, Hackread.com ile özel olarak paylaşıldı. Kuzey Kore'nin siber stratejisinin büyük ölçüde iş odaklı dolandırıcılıklara dayandığını kanıtlıyor. Hackread.com'un da yer verdiği Silent Push gibi firmaların daha önce yayınladığı ve Lazarus Group'un BlockNovas LLC gibi sahte şirketler aracılığıyla kripto para iş arayanları hedef aldığını ayrıntılarıyla anlatan raporların ardından geliyor. İlginç bir şekilde, aynı BeaverTail ve OtterCookie kötü amaçlı yazılımları bu önceki saldırılarda da bulunmuş ve şimdi bir sonraki dalga için geliştiriliyor.
HackRead
