Bybit, işlem hacmine göre dünyanın en büyük ikinci kripto para borsası, Güvenlik Operasyon Merkezi'nin (SOC) Anthropic'in yapay zeka destekli geliştirme aracı olan "Claude Code"u arayan macOS kullanıcılarını hedef alan, sofistike ve çok aşamalı bir kötü amaçlı yazılım kampanyasını ortaya koyan bulgularını bildirdi.
Bu rapor, merkezi bir kripto borsası (CEX) tarafından, geliştiricileri yapay zeka aracı keşif kanalları üzerinden hedef alan aktif bir tehdit kampanyasına ilişkin ilk kamuya açık açıklamalardan biri olup, sektörün siber güvenlik istihbaratının ön cephesindeki artan rolünü vurguluyor.
İlk olarak Mart 2026'da tespit edilen kampanya, kötü amaçlı bir alan adını Google arama sonuçlarının en üstüne taşımak için arama motoru optimizasyonu (SEO) zehirlemesini kullandı. Kullanıcılar, meşru dokümantasyonu yakından taklit edecek şekilde tasarlanmış sahte bir kurulum sayfasına yönlendirildi ve bu sayfa, kimlik bilgisi toplama, kripto varlık hedefleme ve kalıcı sistem erişimine odaklanan iki aşamalı bir saldırı zincirini tetikledi.
İlk yük, bir Mach-O dropper aracılığıyla teslim edilerek, bilinen AMOS ve Banshee varyantlarına benzer özellikler sergileyen osascript tabanlı bir bilgi hırsızını dağıttı. Bu bileşen, tarayıcı kimlik bilgileri, macOS Anahtar Zinciri girdileri, Telegram oturumları, VPN profilleri ve kripto para cüzdan bilgileri de dahil olmak üzere hassas verileri çıkarmak için çok aşamalı bir karartma dizisi yürüttü. Bybit araştırmacıları, 250'den fazla tarayıcı tabanlı cüzdan uzantısına ve birden fazla masaüstü cüzdan uygulamasına yönelik hedefli erişim girişimleri tespit etti.
İkinci aşama yükü, kum havuzu tespiti ve şifrelenmiş çalışma zamanı yapılandırmaları da dahil olmak üzere gelişmiş kaçınma yeteneklerine sahip C++ tabanlı bir arka kapı tanıttı. Kötü amaçlı yazılım, sistem düzeyinde ajanlar aracılığıyla kalıcılık sağladı ve HTTP tabanlı yoklama üzerinden uzaktan komut yürütme imkânı sunarak saldırganlara ele geçirilen cihazlar üzerinde sürekli kontrol sağladı.
Bybit'in SOC ekibi, kötü amaçlı yazılım analiz yaşam döngüsünün tamamında yapay zeka destekli iş akışlarından yararlanarak, analitik derinliği korurken müdahale süresini önemli ölçüde hızlandırdı. Mach-O örneğinin ilk önceliklendirilmesi ve sınıflandırılması dakikalar içinde tamamlandı ve modeller, bilinen kötü amaçlı yazılım aileleriyle davranışsal benzerlikleri işaretledi.
Yapay zeka destekli tersine mühendislik ve kontrol akışı analizi, ikinci aşama arka kapının derinlemesine incelenmesi için gereken süreyi tahmini altı ila sekiz saatten 40 dakikanın altına indirdi. Aynı zamanda, otomatik çıkarım hatları, komuta ve kontrol altyapısı, dosya imzaları ve davranış örüntüleri de dahil olmak üzere güvenlik ihlali göstergelerini (IOC'ler) belirledi ve bunları yerleşik tehdit çerçeveleriyle eşleştirdi.
Bu yetenekler, aynı gün içinde tespit önlemlerinin devreye alınmasını mümkün kıldı. Yapay zeka destekli kural üretimi, tehdit imzalarının ve uç nokta tespit kurallarının oluşturulmasını destekledi; bu kurallar, üretim ortamlarına aktarılmadan önce analistler tarafından doğrulandı. Yapay zeka tarafından üretilen rapor taslakları ise geri dönüş süresini daha da azalttı ve tehdit istihbaratı çıktılarının geleneksel iş akışlarına kıyasla yaklaşık %70 daha hızlı tamamlanmasını sağladı.
"Bu tür bir kötü amaçlı yazılım kampanyasını kamuya açık şekilde belgeleyen ilk kripto borsalarından biri olarak, bulgularımızı paylaşmanın, sektör genelinde kolektif savunmayı güçlendirmek için kritik olduğuna inanıyoruz," diyor Bybit Grup Risk Kontrolü ve Güvenlik Başkanı David Zong. "Yapay zeka destekli SOC yapımız, tespitten tam kill chain görünürlüğüne tek bir operasyonel pencere içinde geçmemizi sağlıyor. Eskiden, birden fazla vardiyada çalışan bir analist ekibi gerektiren – dekompilasyon, IOC çıkarımı, rapor taslağı hazırlama, kural yazımı gibi – işler, tek bir oturumda, ağır işi yapay zekanın üstlenmesi ve analistlerimizin yargı ve doğrulama sağlamasıyla tamamlandı."
Soruşturma ayrıca, kullanıcı kimlik bilgilerini doğrulamak ve önbelleğe almak için kullanılan sahte macOS parola istemleri gibi sosyal mühendislik taktiklerini de ortaya koydu. Bazı durumlarda, saldırganlar Ledger Live ve Trezor Suite gibi meşru kripto cüzdan uygulamalarını, kötü amaçlı altyapıda barındırılan truva atlı sürümlerle değiştirmeye çalıştı.
Kötü amaçlı yazılım; Chromium tabanlı tarayıcılar, çeşitli Firefox sürümleri, Safari verileri, Apple Notlar ve hassas finansal veya kimlik doğrulama verilerinin saklanmasında yaygın olarak kullanılan yerel dosya dizinleri de dahil olmak üzere geniş bir ortam yelpazesini hedef aldı.
Bybit, kampanyayla ilişkili birden fazla alan adı ve komuta ve kontrol uç noktasını tespit etti ve bunların tümü kamuya açıklama amacıyla etkisiz hâle getirildi. Analiz, saldırganların sürekli bağlantılar yerine aralıklı HTTP yoklamasına güvendiğini, bunun da tespiti daha zor hale getirdiğini gösteriyor.
Bu olay, özellikle yapay zeka araçlarının ana akım benimsenmesinin artmasıyla birlikte, saldırganların manipüle edilmiş arama sonuçları üzerinden geliştiricileri hedef alması yönündeki büyüyen eğilimi yansıtıyor. Geliştiriciler, kod depolarına, altyapıya ve finansal sistemlere erişimleri nedeniyle yüksek değerli hedefler olmaya devam ediyor.
Bybit, kötü amaçlı altyapının 12 Mart'ta tespit edildiğini ve tam analiz, hafifletme ve tespit önlemlerinin aynı gün içinde tamamlandığını doğruladı. Kamuya açıklama ise ayrıntılı tespit rehberiyle birlikte 20 Mart'ta yapıldı.
#Bybit / #CryptoArk / #NewFinancialPlatform
Bybit Hakkında
Bybit, işlem hacmine göre dünyanın en büyük ikinci kripto para borsasıdır ve dünya çapında 80 milyondan fazla kullanıcıdan oluşan küresel bir topluluğa hizmet vermektedir. 2018 yılında kurulan Bybit, herkes için daha basit, açık ve eşit bir ekosistem oluşturarak merkeziyetsiz dünyada açıklığı yeniden tanımlıyor. Web3'e güçlü bir odakla, Bybit, sağlam altyapı sağlamak ve zincir üstü inovasyonu teşvik etmek için önde gelen blok zinciri protokolleriyle stratejik ortaklıklar kuruyor. Güvenli saklama çözümleri, çeşitli pazar yerleri, sezgisel kullanıcı deneyimi ve gelişmiş blok zinciri araçlarıyla tanınan Bybit, geleneksel finans (TradFi) ile merkeziyetsiz finans (DeFi) arasındaki boşluğu doldurarak, inşa edenleri, yaratıcıları ve meraklıları Web3'ün tam potansiyelini ortaya çıkarmaya güçlendiriyor. Merkeziyetsiz finansın geleceğini Bybit.com adresinde keşfedin.
Bybit hakkında daha fazla ayrıntı için lütfen Bybit Press sayfasını ziyaret edin.
Basınla ilgili sorular için lütfen şu adrese başvurun: [email protected]
Güncellemeler için lütfen takip edin: Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
