Siber Güvenlik

Kripto Para Hırsızlığı: Sahte Google Notlar Eklentisi Nasıl Çalışır?

Dijital varlıklarınızı hedef alan kripto para hırsızlığı yöntemleri sürekli evrim geçiriyor. Son zamanlarda ortaya çıkan ‘Silent Swap’ adlı kampanya, kullanıcıların tarayıcılarına sızarak kripto cüzdan adreslerini gizlice değiştiriyor. Bu sofistike saldırı, masum bir ‘Google Notlar’ eklentisi kılığına girerek binlerce kişinin fonlarını çalma potansiyeli taşıyor.

Silent Swap’ın Perde Arkası: Hedefte Tarayıcılar Var

Siber güvenlik uzmanlarının 30 Haziran 2026 tarihinde dikkat çektiği bu aktif tarayıcı eklentisi kampanyası, kripto para kullanıcılarının hesaplarını ciddi şekilde tehdit ediyor. ‘Silent Swap’ olarak kodlanan bu faaliyet, mağdurlar bir işlem başlattığında cüzdan adreslerini sessizce değiştirerek fonları saldırganların kontrolündeki cüzdanlara yönlendirmeyi amaçlıyor. Peki, dijital varlıklarınız bu kadar kolayca nasıl ele geçirilebiliyor?

Saldırı mekanizması, hem .NET hem de Golang varyantlarında gözlemlenen imzasız yükleyiciler aracılığıyla dağıtılıyor. Bu yükleyiciler, kötü niyetli bir Chromium uzantısını sistemlere sızdırıyor ve kendisini zararsız bir ‘Google Notlar’ yardımcı programı gibi gösteriyor. ‘BaseZipInstaller’ adındaki .NET yükleyici, aslında bir ZIP arşivini almak üzere tasarlanmış; bu arşiv, sistemdeki Chromium tabanlı tarayıcıları tarayarak kötü amaçlı eklenti için bir temel oluşturuyor.

Tarayıcılarda algılanan her profil için yükleyici, tarayıcı sürecini zorla sonlandırıyor ve Secure Preferences ile Preferences dosyalarını değiştirerek eklentiyi enjekte ediyor. Eklentinin nihai amacı ise bir ‘clipper’ olarak hareket etmek: sistem panosuna kopyalanan cüzdan adreslerini ele geçirme ve manipüle etme yeteneğine sahip olmak. Kullanıcılar, kopyaladıkları adresi yapıştırdıklarında farkında olmadan saldırganın cüzdanına göndermiş oluyorlar. Blockchain üzerindeki çoğu işlemin geri döndürülemez olduğunu düşünürsek, bu adres değişikliği kalıcı finansal kayıplara yol açabilir. Milyonlarca dolarlık kayıplar yaşanmadan bu tür tehditler nasıl durdurulmalı?

EtherHiding ve Komuta-Kontrol Merkezi Bağlantısı

Silent Swap kampanyasını diğerlerinden ayıran kritik bir teknik var: EtherHiding. Bu yöntem, aktif komuta ve kontrol (C2) sunucusu ayrıntılarını almak için blockchain’i bir “ölü bırakma çözücü” olarak kullanıyor. Saldırganlar, kötü amaçlı yazılımı yeniden dağıtmak zorunda kalmadan, akıllı sözleşme değerini yeni bir alana işaret edecek şekilde kolayca güncelleyebilirler. Bu, tehdit aktörlerine esneklik ve tespit edilmekten kaçınma yeteneği sağlıyor. Siber güvenlikte böyle bir adaptasyon ne kadar endişe verici?

Saldırının ikinci önemli yönü, Google Chrome, Microsoft Edge, Brave ve Vivaldi gibi Chromium tabanlı tarayıcılarda tarayıcı ayarlarını gizlice değiştirmesidir. Eklenti, pano erişimi, tüm URL’ler ve tarama geçmişi gibi hassas izinleri talep ediyor. Bu izinler, zararsız bir not alma uygulaması için gereksiz görünse de, kullanıcılar genellikle bu tür istekleri gözden kaçırma eğilimindedir. Peki, bir not alma uygulamasının tarama geçmişinizi neden bilmesi gerekir?

Ancak, bu saldırının başarısı, tarayıcıların yeni sürümlerinde geliştirici modunun etkinleştirilmesine bağlıdır. Normalde tarayıcılar, güvenlik doğrulama verilerini (hash/HMAC) saklar. Geliştirici modu etkinleştirildiğinde, bu korumalar zayıflar. Tehdit aktörleri, geliştirici modunu etkinleştirmek için genellikle sosyal mühendislik taktikleri kullanır — sahte uyarılar, sahte yazılım güncellemeleri veya cazip görünen ücretsiz içerikler sunarak kurbanları tuzağa düşürürler.

CountLoader Bağlantısı ve Türkiye Perspektifi

Bu faaliyetin, daha önce kripto clipper dağıtan bir CountLoader kampanyasıyla örtüştüğü tespit edildi. Eldeki kanıtlar, her iki kampanyanın arkasında da aynı tehdit aktörünün olduğunu gösteriyor. Başlangıçtaki erişim mekanizması, kurbanların CountLoader’ı başlatan kötü niyetli bir dosyayı çalıştırmasını içeriyor; bu da daha sonra sahte tarayıcı eklentisi gibi ek yükleri getirip yüklüyor.

Maalesef, bu başlangıç yükleyicilerinin öncelikli olarak kimlik avı, kötü amaçlı reklamcılık veya başka bir sosyal mühendislik tekniğiyle mi dağıtıldığı kesin olarak belirlenemedi. Ancak, saldırganların kurbanları CountLoader’ı yüklemeye ikna etmek için sıkça kimlik avı e-posta eklerini, oyun ‘crack’lerini ve benzer sosyal mühendislik taktiklerini kullandıkları biliniyor. Türkiye gibi kripto para adaptasyonunun yüksek olduğu ülkelerde, bu tür saldırılar daha geniş kitlelere ulaşma potansiyeli taşıyor. Özellikle ücretsiz oyun yamaları, popüler yazılımların korsan versiyonları veya bankacılık/e-devlet temalı kimlik avı e-postaları Türk kullanıcılar için ciddi risk faktörleri oluşturabilir. Vatandaşlarımızın dijital güvenliği için bu tür saldırılar hakkında bilgi sahibi olması, kripto para hırsızlığı vakalarını minimize etmede önemli bir rol oynuyor.

“Siber güvenlik dünyası, sadece teknolojik açıkları değil, insan faktörünü de hedef alan sofistike sosyal mühendislik yöntemleriyle mücadele ediyor. Bu durum, dijital okuryazarlığın ve şüpheciliğin kritik önemini bir kez daha ortaya koyuyor.”

Peki Kripto Cüzdanlarınızı Nasıl Koruyabilirsiniz?

Dijital varlıklarınızı korumak için proaktif adımlar atmak zorunludur. Silent Swap gibi sinsi tehditlere karşı güvende kalmak için aşağıdaki önerileri dikkate almalısınız:

  • Tarayıcı Eklentilerini Doğrulayın: Yalnızca güvenilir kaynaklardan eklenti yükleyin ve şüpheli görünen, gereksiz izinler isteyen eklentilerden kaçının. Yüklü eklentilerinizin listesini düzenli olarak gözden geçirin ve kullanmadıklarınızı kaldırın.
  • İmzasız Yükleyicilerden Uzak Durun: Bilgisayarınıza yazılım kurarken her zaman resmi ve doğrulanmış kaynakları tercih edin. Oyun ‘crack’leri, yasa dışı yazılım indirmeleri veya şüpheli e-posta ekleri gibi içeriklerden kaçının.
  • İki Faktörlü Kimlik Doğrulama (2FA) Kullanın: Kripto para borsalarınız ve diğer hassas hesaplarınız için 2FA’yı etkinleştirin. Bu, bir saldırganın şifrenizi ele geçirse bile hesabınıza erişmesini engeller.
  • Donanım Cüzdanlarına Yatırım Yapın: Büyük miktarda kripto para tutuyorsanız, çevrimdışı depolama sağlayan donanım cüzdanları (ledger, trezor vb.) en güvenli yöntemlerden biridir. Bu cüzdanlar, fonlarınızı internet bağlantısından izole eder.
  • Cüzdan Adreslerini Kontrol Edin: Kripto para gönderirken, yapıştırdığınız adresi göndermeden önce mutlaka birden fazla kez kontrol edin. Özellikle uzun ve karmaşık adreslerde her karakteri doğrulamak önemlidir.
  • Tarayıcılarınızı Güncel Tutun: Kullandığınız web tarayıcılarının her zaman en son sürümlerini kullanın. Tarayıcı geliştiricileri, güvenlik açıklarını yamamak için sürekli güncellemeler yayınlar.
  • Geliştirici Modundan Kaçının: Tarayıcınızda geliştirici modunu yalnızca ne yaptığınızdan eminseniz etkinleştirin. Bu modun açık kalması, kötü amaçlı yazılımların sisteminize daha kolay sızmasına olanak tanır.

Sık Sorulan Sorular

Silent Swap saldırısı nedir?

Silent Swap, sahte Google Notlar eklentisi kullanarak kullanıcıların kripto cüzdan adreslerini kopyalama anında saldırganın cüzdan adresiyle değiştiren bir siber hırsızlık kampanyasıdır.

EtherHiding tekniği ne işe yarar?

EtherHiding, saldırganların komuta ve kontrol (C2) sunucusu ayrıntılarını blockchain üzerinden dinamik olarak güncellemelerine olanak tanır, böylece kötü amaçlı yazılımın tespiti zorlaşır ve yeniden dağıtımına gerek kalmaz.

Kripto cüzdanımı bu tür saldırılardan nasıl koruyabilirim?

Güvenilir eklentiler kullanın, imzasız yazılımlardan kaçının, 2FA etkinleştirin, adresleri dikkatlice kontrol edin, donanım cüzdanı kullanmayı düşünün ve tarayıcılarınızı güncel tutun.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu