Dijital varlıklar dünyasında yeni bir kötü amaçlı yazılım dalgası yayılıyor ve bu kez aktörler her zamankinden daha akıllı ve çok yönlü. Yeni dalganın öncülerinden biri, Rusya odaklı bir ileri düzey sürekli tehdit grubu olan Librarian Ghouls ve Android bankacılık trojanlarına dayanan, çok platformlu bir hırsız olan Crocodilus.
“Kütüphaneci Hayaletler’in son kampanyası, kripto madencileri ve tuş kaydedicileri gizlemek için AnyDesk gibi meşru yazılımları kullanıyor. İçeri girdiklerinde sessiz kalıyorlar—gece yarısına kadar.”
— Kaspersky Tehdit İstihbaratı ( 9 Haziran 2025 )
Terzi Ghoulları: "Meşru" Kötü Amaçlı Yazılım
Bu APT grubu, saldırıları rutin belgeler olarak gizler (, örneğin, kimlik avı e-postalarında ödeme orders). Açıldıktan sonra, kötü amaçlı yazılımları:
Kötü amaçlı yazılımları gizlemek için 4t Tray Minimizer yükler.
Uzaktan erişim için AnyDesk ve Monero madenciliği için XMRig dağıtır.
Kripto cüzdan kimlik bilgilerini ve kayıt anahtarlarını çalar.
2025'te Yenilik: Gece yarısı etkinleştirme — kötü amaçlı yazılım, tespit edilmemek için yalnızca geceleri çalışır.
Onların saldırısı sadece kaba güçle yapılan bir soygun değil — aksine, teknik uzmanlıklarını psikolojik zorlamayla birleştiriyorlar, kripto döngüsünün her aşamasında saldırıyorlar.
Terzi Ghouls, ayrıca yükleyicilerini meşru iş uygulamaları olarak maskelemek için optimize etmiştir, genellikle kötü amaçlı yazılımlarını ödeme emirleri veya faturalar gibi zararsız belgeler gibi görünen şeylere yerleştirir. Kurban dosyayı çalıştırdığında, kötü amaçlı yazılım yükleyicileri izlerini örtmek için 4t Tray Minimizer gibi programları sessizce yükler ve uzaktan kontrol için AnyDesk'i kurar.
Ancak bu grupla ilgili en benzersiz şey, zamana dayalı tetikleyiciler kullanmalarıdır: kötü amaçlı yazılım yalnızca geceleri etkinleşir ve çalışma saatleri içinde güvenlik ekipleri tarafından tespit edilme şansını azaltır. Bunu, cüzdan kimlik bilgilerini çalmasına, XMRig kullanarak Monero madenciliği yapmasına ve hassas verileri tespit edilmeden sızdırmasına olanak tanıyan bir gece stratejisi kullanarak yapar.
Kurbanlar, genellikle cüzdanlarının boşaltıldığı ve sistemlerinin basit bir şekilde geri yüklenemeyecek kadar tehlikeye atıldığı haftalar sonra bir şeylerin ters gittiğini fark etmeyebilir.
Crocodilus: Seed-Fraza Toplayıcısı
Başlangıçta bir Türk bankacılık trojanı olan Crocodilus, artık küresel kripto kullanıcılarını hedef alıyor:
Coinbase, MetaMask veya madencilik araçları olarak maskelenen sahte uygulamalar.
Otomatik tohum ifadesi hasatçıları cüzdan verilerini taramak için cihazları tarar.
Telefonunuzda sahte "Banka Destek" iletişimleri aracılığıyla sosyal mühendislik.
“Crocodilus’un yeni ayrıştırıcısı, tohum ifadelerini cerrahi hassasiyetle çıkarıyor. Sahte bir X bağlantısına bir tıklama, cüzdanınızı alır.”
— ThreatFabric MTI Ekibi ( 3 Haziran 2025 )
Öte yandan timsah, bölgesel bir tehditten küresel bir tehdide hızla evrimleşti. Artık Android ile sınırlı değil, artık erişimini yaymak için kötü amaçlı tarayıcı uzantılarını, klon masaüstü uygulamalarını ve hatta Telegram botlarını hedefliyor. Kötü amaçlı yazılımın en ölümcül özelliği, bazen kurban hedef alındığının farkına bile varmadan, pano verilerinden, ekran görüntülerinden ve otomatik doldurma verilerinden tohum ifadeleri çalma yeteneğidir.
Tehdit aktörleri, karartılmış cüzdanlara erişimi karanlık ağ forumlarında satmaya başladılar ve bu, çalınmış kripto para dijital varlıkları için büyüyen boyut ve karmaşıklıkta gelişen bir kara pazar oluşturdu. Bazen Crocodilus, masum "destek" numaralarını kurbanların telefonlarına spam olarak gönderiyor ve kullanıcıları teknik destek kılığında hassas bilgileri sağlamaya kandırıyor.
Sahte X Bağlantıları: Artık Gerçek Zamanlı Derin Sahtecilik ile
Hackerlar X (Twitter) ile şunu istismar ediyor:
Ele geçirilmiş onaylı hesaplar sahte airdrop'ları tanıtıyor.
QR kodları cüzdanı boşaltan akıllı sözleşmelere bağlanıyor.
Gerçek ajanları taklit eden AI derin sahte destek sohbetleri.
Gerçek Örnek: Mayıs 2025'te, derin sahte “Elon Musk” canlı yayını izleyicileri “TeslaCoin” çekilişi için bir QR kodu taramaya teşvik etti. Kurbanlar 30 dakikada 200K'dan fazla kaybetti.
En tehditkar eğilimlerden biri, gerçek zamanlı derin sahte destek sohbetlerinin geliştirilmesidir. Hackerlar, X (Twitter) üzerinde tanınmış markaları veya etkileyicileri taklit etmek için AI etkili avatarlar kullanarak, kurbanları tohum ifadesini veya özel anahtarını paylaşmaya ikna eden otantik, etkileşimli "yardım" sunuyor.
Deepfake'ler o kadar inandırıcı ki, topluluktaki tanınmış figürlerin sesini, tonunu ve hatta beden dilini taklit eden avatarlarla deneyimli kripto kullanıcıları bile bunlara kapıldı.
En dikkat çekici durumlardan birinde, X'te yayınlanan bir derin sahte "Elon Musk" canlı yayını sahte bir TeslaCoin hediye dağıtımını tanıttı ve birkaç dakika içinde yüz binlerce dolar kayba neden oldu.
OPSEC İpuçları: Güvende Kalmanın Yolları
Quillaudits’in 2025 Rehberi'nden:
| Eylem | Neden Önemlidir |
| --- | --- |
| Özel bir cihaz kullanın | Kripto aktivitelerini günlük taramadan izole edin |
| Onayları iptal et | Kötü amaçlı yazılım, kilitlediğiniz cüzdanları boşaltamaz |
| Kamusal Wi-Fi'den kaçının | Crocodilus güvensiz ağlarda gelişir |
| X bağlantılarını çevrimdışı doğrulayın | Derin sahtecilik dolandırıcılıkları çapraz kontrol edildiğinde kaybolur |
Bu tür tehditlere karşı korunmak için, kullanıcıların çok katmanlı bir OPSEC yaklaşımı kullanmaları gerekecek. Uzmanlar, yüksek değerli yatırımlar için donanım cüzdanları kullanmayı, iki faktörlü kimlik doğrulamayı etkinleştirmeyi ve seed ifadelerini asla paylaşmamayı — hatta varsayılan destek personeli veya meşru sosyal hesaplarla bile asla paylaşmamayı öneriyor.
Düzenli cüzdan onay kontrolleri, yazılımı güncel tutmak ve kripto işlemlerini tek kullanımlık cihazlara ayırmak da benzer şekilde riski azaltabilir. Saldırganlar giderek daha yenilikçi ve yaratıcı hale geldikçe, en iyi savunma iyi eğitimli kalmak ve yeterince şüpheci olmaktır.
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Uykunuzda Kriptonuzun Güvende Olup Olmadığına Güvenebilir Misiniz?
Dijital varlıklar dünyasında yeni bir kötü amaçlı yazılım dalgası yayılıyor ve bu kez aktörler her zamankinden daha akıllı ve çok yönlü. Yeni dalganın öncülerinden biri, Rusya odaklı bir ileri düzey sürekli tehdit grubu olan Librarian Ghouls ve Android bankacılık trojanlarına dayanan, çok platformlu bir hırsız olan Crocodilus.
Terzi Ghoulları: "Meşru" Kötü Amaçlı Yazılım
Bu APT grubu, saldırıları rutin belgeler olarak gizler (, örneğin, kimlik avı e-postalarında ödeme orders). Açıldıktan sonra, kötü amaçlı yazılımları:
2025'te Yenilik: Gece yarısı etkinleştirme — kötü amaçlı yazılım, tespit edilmemek için yalnızca geceleri çalışır.
Onların saldırısı sadece kaba güçle yapılan bir soygun değil — aksine, teknik uzmanlıklarını psikolojik zorlamayla birleştiriyorlar, kripto döngüsünün her aşamasında saldırıyorlar.
Terzi Ghouls, ayrıca yükleyicilerini meşru iş uygulamaları olarak maskelemek için optimize etmiştir, genellikle kötü amaçlı yazılımlarını ödeme emirleri veya faturalar gibi zararsız belgeler gibi görünen şeylere yerleştirir. Kurban dosyayı çalıştırdığında, kötü amaçlı yazılım yükleyicileri izlerini örtmek için 4t Tray Minimizer gibi programları sessizce yükler ve uzaktan kontrol için AnyDesk'i kurar.
Ancak bu grupla ilgili en benzersiz şey, zamana dayalı tetikleyiciler kullanmalarıdır: kötü amaçlı yazılım yalnızca geceleri etkinleşir ve çalışma saatleri içinde güvenlik ekipleri tarafından tespit edilme şansını azaltır. Bunu, cüzdan kimlik bilgilerini çalmasına, XMRig kullanarak Monero madenciliği yapmasına ve hassas verileri tespit edilmeden sızdırmasına olanak tanıyan bir gece stratejisi kullanarak yapar.
Kurbanlar, genellikle cüzdanlarının boşaltıldığı ve sistemlerinin basit bir şekilde geri yüklenemeyecek kadar tehlikeye atıldığı haftalar sonra bir şeylerin ters gittiğini fark etmeyebilir.
Crocodilus: Seed-Fraza Toplayıcısı
Başlangıçta bir Türk bankacılık trojanı olan Crocodilus, artık küresel kripto kullanıcılarını hedef alıyor:
Öte yandan timsah, bölgesel bir tehditten küresel bir tehdide hızla evrimleşti. Artık Android ile sınırlı değil, artık erişimini yaymak için kötü amaçlı tarayıcı uzantılarını, klon masaüstü uygulamalarını ve hatta Telegram botlarını hedefliyor. Kötü amaçlı yazılımın en ölümcül özelliği, bazen kurban hedef alındığının farkına bile varmadan, pano verilerinden, ekran görüntülerinden ve otomatik doldurma verilerinden tohum ifadeleri çalma yeteneğidir.
Tehdit aktörleri, karartılmış cüzdanlara erişimi karanlık ağ forumlarında satmaya başladılar ve bu, çalınmış kripto para dijital varlıkları için büyüyen boyut ve karmaşıklıkta gelişen bir kara pazar oluşturdu. Bazen Crocodilus, masum "destek" numaralarını kurbanların telefonlarına spam olarak gönderiyor ve kullanıcıları teknik destek kılığında hassas bilgileri sağlamaya kandırıyor.
Sahte X Bağlantıları: Artık Gerçek Zamanlı Derin Sahtecilik ile
Hackerlar X (Twitter) ile şunu istismar ediyor:
Gerçek Örnek: Mayıs 2025'te, derin sahte “Elon Musk” canlı yayını izleyicileri “TeslaCoin” çekilişi için bir QR kodu taramaya teşvik etti. Kurbanlar 30 dakikada 200K'dan fazla kaybetti.
En tehditkar eğilimlerden biri, gerçek zamanlı derin sahte destek sohbetlerinin geliştirilmesidir. Hackerlar, X (Twitter) üzerinde tanınmış markaları veya etkileyicileri taklit etmek için AI etkili avatarlar kullanarak, kurbanları tohum ifadesini veya özel anahtarını paylaşmaya ikna eden otantik, etkileşimli "yardım" sunuyor.
Deepfake'ler o kadar inandırıcı ki, topluluktaki tanınmış figürlerin sesini, tonunu ve hatta beden dilini taklit eden avatarlarla deneyimli kripto kullanıcıları bile bunlara kapıldı.
En dikkat çekici durumlardan birinde, X'te yayınlanan bir derin sahte "Elon Musk" canlı yayını sahte bir TeslaCoin hediye dağıtımını tanıttı ve birkaç dakika içinde yüz binlerce dolar kayba neden oldu.
OPSEC İpuçları: Güvende Kalmanın Yolları
Quillaudits’in 2025 Rehberi'nden:
| Eylem | Neden Önemlidir | | --- | --- | | Özel bir cihaz kullanın | Kripto aktivitelerini günlük taramadan izole edin | | Onayları iptal et | Kötü amaçlı yazılım, kilitlediğiniz cüzdanları boşaltamaz | | Kamusal Wi-Fi'den kaçının | Crocodilus güvensiz ağlarda gelişir | | X bağlantılarını çevrimdışı doğrulayın | Derin sahtecilik dolandırıcılıkları çapraz kontrol edildiğinde kaybolur |
Bu tür tehditlere karşı korunmak için, kullanıcıların çok katmanlı bir OPSEC yaklaşımı kullanmaları gerekecek. Uzmanlar, yüksek değerli yatırımlar için donanım cüzdanları kullanmayı, iki faktörlü kimlik doğrulamayı etkinleştirmeyi ve seed ifadelerini asla paylaşmamayı — hatta varsayılan destek personeli veya meşru sosyal hesaplarla bile asla paylaşmamayı öneriyor.
Düzenli cüzdan onay kontrolleri, yazılımı güncel tutmak ve kripto işlemlerini tek kullanımlık cihazlara ayırmak da benzer şekilde riski azaltabilir. Saldırganlar giderek daha yenilikçi ve yaratıcı hale geldikçe, en iyi savunma iyi eğitimli kalmak ve yeterince şüpheci olmaktır.