Yeni keşfedilen bir kötü amaçlı yazılım, Secure Shell’den yararlanır (SSH) kripto para birimi madenciliği yapmak ve dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek amacıyla hedeflenen sistemlere giriş elde etmek için kriptografik protokol.
dublajlı KmsdBot Akamai Güvenlik İstihbarat Müdahale Ekibi (SIRT) tarafından, Golang tabanlı kötü amaçlı yazılımın oyunlardan lüks otomobil markalarına ve güvenlik şirketlerine kadar çeşitli şirketleri hedef aldığı tespit edildi.
Akamai araştırmacısı Larry W. Cashdollar, “Botnet, zayıf oturum açma kimlik bilgileri kullanan bir SSH bağlantısı aracılığıyla sistemlere bulaşıyor” söz konusu. “Kötü amaçlı yazılım, tespitten kaçınmanın bir yolu olarak virüslü sistemde kalıcı kalmaz.”
Kötü amaçlı yazılım, başarılı bir uzlaşmanın ardından uzak bir sunucudan indirilen “kmsd.exe” adlı yürütülebilir dosyadan adını alır. Ayrıca Winx86, Arm64, mips64 ve x86_64 gibi birden çok mimariyi desteklemek üzere tasarlanmıştır.
KmsdBot, tarama işlemlerini gerçekleştirme ve kullanıcı adı ve şifre kombinasyonlarının bir listesini indirerek kendini yayma yetenekleriyle birlikte gelir. Ayrıca madencilik sürecini kontrol etmek ve kötü amaçlı yazılımı güncellemek için donatılmıştır.
Akamai, kötü amaçlı yazılımın ilk gözlemlenen hedefinin bir oyun şirketi olduğunu söyledi. BeşMGrand Theft Auto V için oyuncuların özel rol yapma sunucularına erişmesine izin veren çok oyunculu bir mod.
bu DDoS saldırıları web altyapı şirketi tarafından gözlemlenen Katman 4 ve Katman 7 saldırılarıburada bir hedef sunucunun kaynaklarını bunaltmak ve işleme ve yanıt verme yeteneğini engellemek için bir TCP, UDP veya HTTP GET isteği gönderilir.
Cashdollar, “Bu botnet, güvenliğin karmaşıklığının ve ne kadar geliştiğinin harika bir örneğidir.” Dedi. “Bir oyun uygulaması için bot olarak başlayan şey, büyük lüks markalara saldırmaya dönüştü.”
Kaspersky’nin telemetri verilerine göre, bu bulgular, savunmasız yazılımların kripto para birimi madencilerini dağıtmak için giderek artan bir şekilde kullanılmasıyla ortaya çıktı ve 2022’nin ilk çeyreğindeki %12’den üçüncü çeyrekte %17’ye yükseldi. Kötü amaçlı madencilik yazılımının analiz edilen örneklerinin yaklaşık yarısı (%48) gizlice Monero (XMR) madenciliği yapıyor.
Rus siber güvenlik şirketi, “İlginç bir şekilde, 2022’nin üçüncü çeyreğinde en çok hedeflenen ülke, kripto para birimleri kullanmanın ve madenciliğin yasa dışı olduğu Etiyopya (%2,38) oldu.” söz konusu. İkinci ve üçüncü sırayı Kazakistan (%2,13) ve Özbekistan (%2,01) takip ediyor.