Kripto para madenciliği kötü amaçlı yazılımları, ücretsiz indirme siteleri aracılığıyla dağıtılan popüler yazılımların sahte sürümlerinde gizlenir. Tespit edilmemek için, dünya çapında Windows PC’lere bulaşan bir kampanyada yayınlanmadan önce bir ay gizlenir.
Nitrokod olarak adlandırılan kötü amaçlı yazılım kampanyası, en az 2019’dan beri aktiftir ve tarafından detaylandırılmıştır. Check Point siber güvenlik araştırmacıları.
Cryptojacker’lar, kripto para madenciliği yapmak için virüslü cihazların bilgi işlem gücünü gizlice kullanan bir tür kötü amaçlı yazılımdır.
Genellikle görünmez bir süreç
Süreç genellikle fark edilmez ve saldırı kurbanı, kendi bilgi işlem gücünü veya elektrik.
Nitrokod, araştırmacıların arama motorlarını kullanarak kolayca bulunabileceğini söylediği ücretsiz indirme siteleri aracılığıyla dağıtılır. İndirilen yazılımlar, aslında masaüstü sürümleri olmasa bile, popüler web uygulamalarının masaüstü sürümleri gibi görünür.
Check Point, “Kötü amaçlı yazılım, popüler olan ancak kötü amaçlı yazılımın sürümlerini talepte ve özel tutan Google Translate gibi gerçek bir masaüstü sürümüne sahip olmayan uygulamalardan atılır” dedi.
Ancak bu Truva Atı uygulamalarını indiren herkes, kendilerini farkında olmadan kripto para madenciliği kötü amaçlı yazılımlarının bulaştığını fark ediyor – ancak saldırının keşfedilmemesini sağlamak için bulaşma sürecini geciktiren çok adımlı bir süreç nedeniyle ilk indirmeden sonraki bir ay içinde değil.
Birçok aşama
Bulaşma süreci, uygulama bir web yükleyici aracılığıyla indirildiğinde başlar ve bu da virüslü makinede kalıcılığı korumak ve bununla ilgili bilgileri saldırgana geri göndermek için kullanılan bir .exe yükleyicisini indirip çalıştırır.
Beş gün sonra, süreçteki bir sonraki adım, makinenin yeniden başlatılmasını izleyen ve dördüncü örnekten sonra şifreli bir RAR dosyasından başka bir yükleyici çıkaran bir yükleyici sağlar. Bu çok adımlı yaklaşım, kötü amaçlı yazılımın güvenlik araştırmacıları tarafından kurulan bir sanal alanda algılanmaktan kaçınmasını sağlar.
Bu noktada, kurulumun izlenmesini önlemek için önceki adımlardan elde edilen kanıtlar günlük dosyalarından kaldırılır ve 15 gün sonra tetiklenecek bir zamanlanmış görev ayarlanır.
Bu noktada, başka bir şifreli RAR dosyası indirilir, bu da başka bir damlalık sunar, bu da şifreli bir dosyadan başka bir damlalık gönderir ve onu çalıştırır – ilk yazılım indirmesinden bir ay sonra virüslü PC’ye kripto para birimi madencisini yükler.
Diğer tehditlere açık kapı
Check Point’e göre, kampanya yıllarca gizli kaldı ve dünyanın dört bir yanındaki kurbanlar yanlışlıkla makinelerine kötü amaçlı yazılım bulaştırdı.
Check Point Software araştırma başkan yardımcısı Maya Horowitz, “Beni en çok etkileyen şey, bu kötü amaçlı yazılımın çok popüler olması, ancak uzun süredir gizli kalması” dedi.
Bu uygulamaları indiren herkesin bunları kaldırması ve kötü amaçlı dosyaları kaldırması önerilir. Bu tür indirme ve diğer truva atı yazılımlarına maruz kalmamak için, kullanıcıların güvenilir web sitelerinden yalnızca yasal yazılımları indirmeleri önerilir.
Cryptojacker’lar en az zarar veren kötü amaçlı yazılım türleri arasında yer alsalar da, özellikle bunları yüklemek için kullanılan yöntemler, fidye yazılımı ve parola çalan truva atları dahil olmak üzere daha zararlı diğer kötü amaçlı yazılım biçimlerini yüklemek için kullanılabildiğinden, bunların kurbanı olmak bir risk olarak kabul edilmelidir. .
“Şu anda, tespit ettiğimiz tehdit, bilgisayar kaynaklarını çalan ve saldırganın kâr etmesi için bunları kullanan bir kripto para birimi madencisini bilmeden kurmaktır. Aynı saldırı akışını kullanarak, saldırgan, bir kripto para birimi madencisinden son saldırı yükünü, örneğin bir fidye yazılımı veya bankacılık truva atına kolayca değiştirmeyi seçebilir, ”dedi Maya Horowitz.
Kaynak : ZDNet.com
