Bir kripto madenciliği kampanyası, masaüstü bilgisayarlar için bir Google Çeviri indirmesinde saklanarak dünya çapında binlerce makineye potansiyel olarak bulaştı.
Check Point’teki araştırmacılara göre, arkasındaki tehdit aktörü, Google Translate gibi resmi bir masaüstü sürümü olmayan popüler yazılım uygulamalarının ücretsiz sürümlerini sunan Nitrokod adlı Türkçe konuşan bir yazılım geliştiricisidir.
Aslında, resmi Google Çeviri web sayfaları ve Chromium tabanlı bir çerçeve kullanılarak oluşturulan çeviri yardımcı programının sürümünün en popüler teklifi olduğunu söyledi. Blog yazısı bu hafta. Softpedia ve uptodown gibi web siteleri aracılığıyla erişilebilen ve “Google Translate masaüstü indirmesi” için arama sonuçlarının en üstünde çıkan, önemli bir yaklaşımla dağıtılır.
Ne yazık ki, indirmeler Truva atına dönüştürülür ve uygulamanın gerçekten reklamı yapıldığı gibi çalıştığı göz önüne alındığında, kurbanlar çok uzun bir süre (veya hiç) fark etmeyebilirler.
Cado Security güvenlik araştırmacısı Matt Muir, “Bu kampanya, kripto hırsızlığı grupları tarafından kullanılan çeşitli yayılma yöntemlerini vurgulamaktadır” diyor. “Meşru uygulamalar gibi görünmek, kötü amaçlı yazılımların kendisi kadar eski olsa da… ne yazık ki, son kullanıcıyı popüler olduğuna inandıkları bir uygulamayı yüklemesi için kandırmak çok kolay.”
Gizlilik için tasarlandı
Check Point araştırmacıları, devam eden ve küresel olarak yayılan kampanyanın, fark edilmeden kalmasına yardımcı olmak için tasarlanmış çeşitli özelliklere sahip olduğunu buldu.
Örneğin, yazılım yüklendikten sonra bulaşma süreci haftalarca uykuda kalır. Contrast Security’de siber stratejiden sorumlu kıdemli başkan yardımcısı Tom Kellermann, Dark Reading’e bunun büyüyen bir trendin en önemli örneği olduğunu söylüyor.
“Özellikle, ilk enjeksiyondan sonra tespit edilmemek için haftalarca bekliyorlar” diyor. “Kötü amaçlı yazılımları uyku döngüsüne yerleştirmek ana akım haline geliyor ve düşmanların zamanı kaçırma amacıyla kullandığı yerlerde ‘kronos’ saldırıları artıyor.”
Uyku aralığından sonra, enfeksiyon süreci başlatılır ve kurban, birkaç gün içinde makineye zincirlenmiş bir dizi dört damlalık yükleyen güncellenmiş bir dosya alır. Son olarak, son damlalık Monero odaklı XMRig kripto madencisini alır ve çalıştırır.
İndirme işlemi daha sonra yapılandırma verileri için bir komut ve kontrol (C2) sunucusuna bağlanır ve saldırganlar bulaşma sürecinin tüm kanıtlarını silerken madenciliğe başlar. Bu arada, Google Çeviri, ayrı ayrı düzgün şekilde çalışmaya devam edecek ve analiz için kırmızı bayraklar sunmayacaktır.
Check Point’in analizine göre, “Bu, kampanyanın yıllarca radarın altında başarılı bir şekilde çalışmasına izin verdi”. “Bu şekilde, kampanyanın ilk aşamaları takip edenlerden ayrılarak enfeksiyon zincirinin kaynağını izlemeyi ve ilk virüslü uygulamaları engellemeyi çok zorlaştırıyor.”
Araştırmacılar, 2019’dan beri aktif olan Nitrokod’un, gerçekte tamamı tehdit olan ücretsiz ve güvenli yazılımlar sunduğunu iddia ediyor. Davranışların, diğer tüm virüslü programlardaki Google Çeviri kampanyasına benzer olduğunu söylediler. Bu nedenle, bu kampanya Temmuz ayında tespit edilmiş olsa da, gelecekte siber suç grubundan ek faaliyetler olması muhtemeldir.
Kripto Madenciliğine Karşı Nasıl Korunulur
Aqua Nautilus araştırma ekibinde lider veri analisti Assaf Morag, kampanyanın kripto hırsızlığı dolandırıcılarının saldırı yöntemlerini nasıl çoğalttığını ve hızlı bir finansal kazanç olarak sanal paraların peşinden gitmeye devam ettiğini gösterdiğini belirtiyor.
Truva atlı uygulamalara ek olarak, “bazı kripto madencileri web sitelerinde gizlidir ve şüphelenmeyen bir kurban siteye göz attığında, web sitesindeki kripto madenciliği komut dosyası, genellikle kullanıcıların bilgisi veya rızası olmadan tarayıcıda çalışır” diyor. “Son zamanlarda gördüğümüz başka bir kripto hırsızlığı türü genellikle daha karmaşıktır. Bu, güvenlik açıklarını ve yanlış yapılandırmaları tarayan, bunlardan yararlanan ve kripto hırsızlığı kötü amaçlı yazılımını ve genellikle saldırıyı genişletmeyi ve kalıcı hale getirmeyi amaçlayan diğer kötü amaçlı yazılımları yayan büyük bir botnet altyapısı içerir. “
Sonuç olarak, işletmeler yama ve Web filtreleme gibi temel savunmalarını güçlendirmeli ve onaylı yazılımlar dışında herhangi bir şeyi uç noktalara, ağ sensörlerine, sunuculara ve güvenlik duvarlarına indirmeye karşı politikalar uygulamalıdır. Ve o zaman bile, kullanıcılar yalnızca resmi depolardan yazılım indirmelidir – bu durumda Google Play gibi; resmi bir masaüstü uygulaması yoksa, kullanıcılar Web tabanlı sürümle yetinmelidir.
Sysdig’deki tehdit araştırması direktörü Michael Clark da kampanyanın uzaktan çalışanları uyardığını söylüyor.
“Yazılım, herkes tarafından kullanılabilecek bir şeymiş gibi görünüyor” diyor. “Bu, uç noktalarınızın ve hatta evdeki kullanıcıların kripto madenciliğinden etkilenebileceğini gösteriyor. Uç noktalar sunucular kadar güçlü olmayabilir, ancak bir kripto madenci için çalabilecekleri her bir işlem gücü, karlarına katkıda bulunur.”
Ya çok geç olursa? KnowBe4 güvenlik bilinci savunucusu James McQuiggan, virüs bulaştığında, “kullanıcılar sistemlerinde bir performans sorunu görecek ve sistemi kötü amaçlı yazılımdan etkili bir şekilde kurtarmak için işletim sistemlerinin yeni bir yüklemesine ihtiyaç duyacaklardır” diyor.