İsviçre merkezli siber güvenlik firması PRODAFT tarafından yapılan açıklamaya göre, finansal amaç güden tehdit aktörü EncryptHub, Web3 geliştiricilerini hedef alan yeni bir kampanya başlattı. LARVA-208 ya da Water Gamayun isimleriyle de bilinen bu grup, Norlax AI gibi sahte yapay zeka platformları kullanarak kurbanlarını tuzağa düşürüyor. Bu platformlar, meşru iş teklifleri veya portföy değerlendirme davetleri gibi kandırıcı yollarla geliştiricileri çekiyor. Amaç, gerçekçi görünen bu sahte ortamda kurbanların cihazlarına Fickle Stealer adlı bilgi çalma yazılımını yüklemek.
Web3 geliştiricileri kripto para cüzdanları, akıllı sözleşme kodları ve hassas test ortamlarına erişim sağladığı için saldırganların öncelikli hedefi haline gelmiş durumda. Ayrıca bu geliştiriciler çoğunlukla serbest çalışıyor veya birden fazla merkeziyetsiz projede yer aldıkları için klasik kurumsal güvenlik önlemleriyle korunmaları zorlaşıyor.
İŞ GÖRÜŞMESİ KILIĞINDA SİBER SALDIRI
Saldırı zinciri, kurbanların Telegram ve X gibi platformlardan Web3 ve blockchain içeriklerini takip eden geliştiricilere iş görüşmesi ya da portföy incelemesi bahanesiyle sahte toplantı bağlantıları gönderilmesiyle başlıyor. Remote3 adlı Web3 iş ilanı platformunda yayınlanan pozisyonlara başvuranlar da aynı yöntemle hedef alınıyor. Remote3 sitesi, kullanıcıları bilinmeyen video konferans yazılımlarını indirmemeleri konusunda uyarsa da saldırganlar önce Google Meet üzerinden görüşme yapıyor ve ardından Norlax AI’ya geçmelerini istiyor.
Kurulan bu tuzakta kurbanlar, sahte bir hata mesajı altında güncel olmayan ses sürücüsü uyarısıyla karşılaşıyor. Mesajdaki bağlantıya tıklandığında, gerçekte zararlı yazılım olan ve Realtek HD Audio Driver gibi görünen dosya indiriliyor. Bu yazılım, PowerShell komutlarıyla Fickle Stealer’ı cihazda aktif hale getiriyor.
YENİ RANSOMWARE VE SALDIRI TEKNİKLERİ
PRODAFT, "EncryptHub gibi tehdit aktörleri sahte AI uygulamaları aracılığıyla kripto cüzdanları, geliştirici kimlik bilgileri ve hassas proje verilerini başarıyla topluyor" diye belirtiyor. Bu operasyon, verilerin çalınarak yasa dışı piyasalarda satılması ya da kötü amaçlı kullanılması yoluyla farklı para kazanma stratejilerine işaret ediyor.
Bu gelişmelerle paralel olarak Trustwave SpiderLabs, Haziran 2025'te ortaya çıkan KAWA4096 adlı yeni bir fidye yazılımını tanıttı. ABD ve Japonya merkezli 11 şirkete saldırdığı bildirilen bu yazılım, paylaşılan ağ sürücülerindeki dosyaları çoklu iş parçacığı kullanarak hızlıca şifreliyor. Güvenlik araştırmacıları Nathaniel Morales ve John Basmayor, bu yöntemle dosyaların daha etkin ve hızlı şifrelendiğini vurguladı.
Buna ek olarak, BlackByte grubunun bir parçası olduğunu iddia eden Crux adlı başka bir fidye yazılımı da Temmuz ayında birkaç saldırıda tespit edildi. Saldırganlar, RDP üzerinden elde ettikleri meşru kullanıcı bilgileriyle ağlara sızıyor ve Windows’un svchost.exe ile bcdedit.exe gibi araçlarını kullanarak kötü amaçlı komutları gizleyip sistem kurtarma seçeneklerini devre dışı bırakıyor.
Siber güvenlik uzmanları, bu tür saldırılara karşı Windows işlemlerini dikkatle izleyen ve uç nokta algılama-tepki sistemleri kullanan kurumların saldırganları erkenden fark edebileceğini belirtiyor.
