PRODAFT: EncryptHub, Web3 Geliştiricilerini Hedef Alan Yeni Bir Kampanya Başlattı

İsviçre merkezli siber güvenlik firması PRODAFT, finansal amaç güden tehdit aktörü EncryptHub’un, Web3 geliştiricilerini hedef alan yeni bir kampanya başlattığını duyurdu. Bu grup, Norlax AI gibi sahte yapay zeka platformlarını kullanarak kurbanlarını tuzağa düşürüyor. Sahte iş teklifleri ve portföy değerlendirme davetleri ile geliştiricileri çeken bu platformların arkasındaki amacın, Fickle Stealer adlı bilgi çalma yazılımını kurbanların cihazlarına yüklemek olduğu belirtiliyor.

Web3 Geliştiricileri Hedefte

Web3 geliştiricileri, kripto para cüzdanları, akıllı sözleşme kodları ve hassas test ortamlarına erişim sağladıkları için saldırganların öncelikli hedefi haline gelmiş durumda. Bu geliştiriciler genellikle serbest çalışıyor veya merkeziyetsiz projelerde yer aldıkları için klasik koruma yöntemleriyle korunmaları zorlaşıyor.

Siber Saldırılar Nasıl Gerçekleşiyor?

Saldırı zinciri, geliştiricilere sahte iş görüşmesi veya portföy incelemesi bahanesiyle Telegram ve X gibi platformlardan sahte toplantı bağlantıları göndererek başlıyor. Bu taktiği kullanan saldırganlar, aynı zamanda Remote3 adlı Web3 iş ilanı platformuna başvuranları da aynı yöntemle hedef alıyor. Saldırganlar, kurbanları Google Meet üzerinden görüşmeye çağırıp ardından Norlax AI’ya yönlendirerek tuzağa düşürüyor.

Kurbanlar, sahte bir hata mesajı altında güncel olmayan ses sürücüsü uyarısı alıyor. Mesajdaki bağlantıya tıkladıklarında, gerçekte zararlı bir yazılım olan ve Realtek HD Audio Driver gibi görünen bir dosya indiriliyor. Bu yazılım, PowerShell komutlarıyla Fickle Stealer’ı cihazda aktif hale getiriyor.

Yeni Ransomware ve Saldırı Teknikleri

PRODAFT, tehdit aktörleri EncryptHub gibi grupların sahte AI uygulamaları aracılığıyla kripto cüzdanları, geliştirici kimlik bilgileri ve hassas proje verilerini başarıyla topladığını belirtiyor. Bu verilerin yasa dışı piyasalarda satılması veya kötü amaçlı kullanılmasıyla farklı para kazanma stratejilerine işaret ediliyor.

Ayrıca, Trustwave SpiderLabs Haziran 2025’te ortaya çıkan KAWA4096 adlı yeni bir fidye yazılımını tanıttı. ABD ve Japonya merkezli şirketlere saldıran bu yazılım, paylaşılan ağ sürücülerindeki dosyaları hızlıca şifreleyen çoklu iş parçacığı kullanan yeni bir yöntemi benimsemiş durumda.

Diğer yandan, BlackByte grubunun bir parçası olduğu iddia edilen Crux adlı başka bir fidye yazılımı da Temmuz ayında keşfedildi. Saldırganlar, RDP üzerinden elde edilen meşru kullanıcı bilgileriyle ağlara sızarak kötü amaçlı komutları gizleme ve sistem kurtarma seçeneklerini devre dışı bırakma yoluna gidiyor.

Siber güvenlik uzmanları, bu tür saldırılara karşı Windows işlemlerini dikkatle izleyen ve uç nokta algılama-tepki sistemlerini kullanan kurumların saldırganları erkenden fark edebileceğini öneriyor.