SlowMist Baş Bilgi Güvenliği Görevlisi 23pds, AMOS Truva atı varyantı 'Odyssey'in sahte yapay zeka aracı reklamları aracılığıyla kripto para cüzdanı bilgilerini çaldığını ve önemli güvenlik risklerini vurguladığını bildirdi.

Yönetici Özeti

18 Eylül'de SlowMist Baş Bilgi Güvenliği Görevlisi 23pds, AMOS bilgi çalan Truva atının bir varyantı olan Odyssey'in, kripto para kullanıcılarını aktif olarak hedef aldığını açıkladı. Bu kötü amaçlı yazılım, Twitter gibi platformlardaki sahte yapay zeka (AI) aracı reklamları aracılığıyla yayılıyor ve kişileri yasal AI istemci uygulamaları kılığına girmiş kötü amaçlı yazılımları indirmeye kandırıyor. Yüklendikten sonra Odyssey, kripto para cüzdanı bilgileri, sistem detayları ve tarayıcı verileri dahil olmak üzere hassas verileri sızdırmak için tasarlanmıştır.

Olay Detayları

Odyssey, veri hırsızlığını gerçekleştirmek için birincil yük olarak AppleScript'i kullanan sofistike bir kötü amaçlı yazılımdır. Saldırı vektörü, kötü amaçlı yazılımı dağıtmak için yapay zeka araçlarının popülaritesinden yararlanan sosyal mühendisliğe dayanmaktadır. Bu sahte reklamlarla karşılaşan kullanıcılar, yasal bir yapay zeka istemci yazılımı gibi görünen bir şeyi indirmeleri istenir. Ancak indirilen uygulama kötü amaçlıdır ve özellikle hassas bilgileri çalmak için tasarlanmıştır. Bu, MetaMask, Trust Wallet, Phantom, Exodus, Coinbase Wallet ve Ledger Live gibi tarayıcı tabanlı kripto para cüzdanlarından özel anahtarlar ve tohum cümleleri ile genel sistem ve tarayıcı verilerini içerir. Ledger uygulamalarını taklit edenler de dahil olmak üzere AMOS kötü amaçlı yazılımının önceki yinelemeleri, 24 kelimelik tohum cümlelerini çalmak için aldatıcı dosyalar ve kimlik avı arayüzleri kullanarak Apple'ın Gatekeeper'ı gibi güvenlik önlemlerini atlama yeteneğini göstermiştir.

Piyasa Etkileri

Odyssey varyantının ortaya çıkışı, kripto para sektöründe kritik ve gelişen bir tehdit ortamını vurgulamaktadır. Bu tür doğrudan cüzdan ihlali, dijital varlık ekosistemi genelinde bildirilen artan finansal kayıplara önemli ölçüde katkıda bulunmaktadır. CertiK'ten alınan veriler, 2025'in ilk yarısında yaklaşık 2,47 milyar dolar değerinde kripto para çalındığını ve bu rakamın 2024'ün tamamındaki toplam kayıpları aştığını göstermektedir. Cüzdan ihlali, 2025'in ilk yarısında 34 olayda 1,7 milyar dolar ile en maliyetli saldırı vektörü olarak tanımlanmış, büyük ölçüde birkaç yüksek etkili olaydan kaynaklanmıştır. Özellikle cüzdan kimlik bilgilerini hedef alan Odyssey gibi sofistike Truva atlarının devam eden çoğalması, kullanıcı güvenini aşındırarak ve bireysel varlık güvenliğine sistemik riskler oluşturarak bu eğilimi doğrudan kötüleştirmektedir.

Uzman Yorumları

SlowMist CISO 23pds, kullanıcıları bu tehditlere karşı dikkatli olmaya açıkça uyardı. Güvenlik uzmanları, kişilere herhangi bir yapay zeka aracı veya kripto para birimiyle ilgili yazılımı resmi olmayan kanallardan indirmekten kaçınmaları çağrısında bulunarak aşırı dikkatli olmalarını tavsiye ediyor. Cihazlarda düzenli güvenlik kontrolleri önerilmektedir. SlowMist CISO Shan Zhang'ın ModStealer gibi diğer kötü amaçlı yazılımlara ilişkin vurguladığı gibi, daha geniş uzman konsensüsü, platformlar arası ve gizli veri hırsızlarının dijital varlık ekosistemine yönelik oluşturduğu ciddi tehdidi vurgulamaktadır. Genel güvenlik önerileri arasında, cüzdan uzantılarını yalnızca resmi mağazalardan indirmek, kurulumdan önce yazılım yayıncılarını doğrulamak ve mümkün olan her yerde çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmek yer almaktadır.

Daha Geniş Bağlam ve İş Stratejisi

Odyssey varyantının kullandığı saldırı metodolojisi, yapay zeka gibi popüler teknolojik trendlerden yararlanarak inandırıcı tuzaklar oluşturmayı amaçlayan bir saldırgan stratejisini yansıtmaktadır. Bu yaklaşım, AI tarafından oluşturulan kodu ve "uzantı oyma" tekniklerini (meşru uzantıların daha sonra kötü amaçlı kodla güncellendiği yerler) kullanarak yüksek trafikli cüzdanları hedefleyen GreedyBear gibi gruplar tarafından kullanılanlar da dahil olmak üzere diğer gelişen siber suç taktiklerini yansıtır. Bu saldırıların finansal mekanizmaları, saldırganların ele geçirilmiş kripto para varlıklarını boşaltmasına doğrudan olanak tanıyan tohum cümleleri ve özel anahtarlar gibi hassas cüzdan verilerinin doğrudan sızdırılmasını içerir. Bu devam eden tehdit, Web3 ekosistemi genelinde sağlam, çok katmanlı güvenlik uygulamalarına duyulan kritik ihtiyacı vurgulamaktadır; bu, yalnızca bireysel kullanıcı dikkatini değil, aynı zamanda platformlar ve geliştiriciler tarafından sürekli kod denetimleri, gerçek zamanlı izleme ve proaktif olay müdahalesini de kapsamaktadır. Cüzdan ihlalleri nedeniyle çalınan varlıkların yüksek rakamları, saldırganların giderek en zayıf halkaya odaklandığını göstermektedir: kullanıcının uç noktası ve hassas kimlik bilgilerini işleme biçimleri.