Siber güvenlik şirketi Kaspersky, kripto para yatırımcılarını hedef alan yeni bir kötü amaçlı yazılım çerçevesi tespit etti.
OkoBot adı verilen bu kötü amaçlı yazılım, ClickFix gibi sosyal mühendislik yöntemleriyle başlıyor. Kullanıcıları zararlı komutlar çalıştırmaya ikna eden bu taktiklerin yanı sıra, trojanlaştırılmış GitHub uygulamaları da bulaşmış cihazlara arka kapı yerleştiriyor. Kaspersky’nin çarşamba günü yayımladığı rapora göre, OkoBot kripto cüzdan dosyalarını, tarayıcı verilerini ve kullanıcı kimlik bilgilerini toplayabiliyor; zararlı uzantılar ekleyebiliyor ve cüzdan uygulamalarının pencerelerini ele geçirerek varlık hırsızlığına yol açabiliyor. Şirket, Ocak 2026’dan bu yana bu kötü amaçlı yazılım ailesiyle ilişkili birden fazla saldırı tespit ettiğini belirtti.
Kaspersky ayrıca, OkoBot’un ilk olarak 2025’te tespit edilen ve sahte yazılım siteleri üzerinden Trojan indirici dağıtan TookPS adlı kötü amaçlı yazılım kampanyasından evrildiğini aktardı. Bu yeni çerçevenin, benzer saldırıların önünü açabileceği vurgulandı.
OkoBot, önceki kampanyalardan farklı olarak, 20 zararlı yükün tamamını SSH tüneli üzerinden yönetiyor. Bu yöntem, bulaşmış bilgisayarlardan saldırganların kontrolündeki uzak makinelere veri aktarımını mümkün kılıyor.
Sahte LinkedIn İşe Alım Kampanyaları Web3 Geliştiricilerini Hedefliyor
Blok zinciri güvenlik şirketi SlowMist’e göre, Web3 geliştiricilerinin cihazlarını hedef alan yeni bir kötü amaçlı yazılım kampanyası da sahte LinkedIn işe alım fırsatları üzerinden yürütülüyor.
Saldırganlar, LinkedIn üzerinden Web3 işe alım uzmanı gibi davranarak blok zinciri geliştiricileriyle iletişime geçiyor. Ardından, görüşme öncesinde denenmesi gereken asgari uygulanabilir ürün içerdiğini iddia ettikleri sahte GitHub depolarını mağdurlara gönderiyorlar. SlowMist’in cumartesi günü yayımladığı rapora göre, bu süreç gerçek bir teknik mülakatı andırıyor; geliştiriciler kodu çekiyor, bağımlılıkları yüklüyor ve projeyi başlatıyor. Bu da saldırının fark edilmesini zorlaştırıyor.
Kötü amaçlı yazılım, cihazlara tam erişim sağlayan bir uzaktan erişim truva atı yüklemeyi hedefliyor. Böylece saldırganlar, geliştiricilerin proje anahtarlarını, bulut kimlik bilgilerini veya cüzdan uzantısı verilerini çalabiliyor.
SlowMist, bu saldırının tekil bir vaka olmadığını belirtti. Son dönemde yaşanan olayların, saldırganların işe alım, kod incelemesi ve proje iş birliği gibi senaryoları kullanarak geliştiricileri zararlı depoları çalıştırmaya ikna etme eğiliminin arttığını gösterdiğini vurguladı.
Bu rapor, SlowMist’in macOS kullanıcılarını hedef alan ve kimlik bilgilerini çalmayı, Telegram oturumlarını ele geçirmeyi amaçlayan ayrı bir kötü amaçlı yazılım kampanyasına karşı uyarı yayımlamasından bir gün sonra geldi. Söz konusu saldırı, yatırımcıları sahte internet siteleri üzerinden cüzdan kurtarma ifadelerini girmeye yönlendirmeyi amaçlıyor.
Bu içerik hazırlanırken faydalanılan kaynaklar: tradingview.com