Kripto Hırsızlığı Tehditi ve Önemi
Gelişmiş bilgisayar sistemlerini hedef alan siber suçlular, SEO zehirleme ve yapay zeka tabanlı asistanlar aracılığıyla yaygın bir kripto hırsızlığı kampanyasına yöneliyor. Bu durum, kullanıcıların güvendiği yazılımları ararken karşılaştığı sahte bağlantılarla ciddi güvenlik tehditleri oluşturuyor.
Saldırı Nasıl Çalışıyor?
Saldırı, kullanıcıların yüksek performanslı bilgisayarlarında sıkça kullanılan yardımcı yazılımlara olan talebin yanı sıra kötü niyetli indirme sayfaları aracılığıyla gerçekleşiyor. Örnek olarak, sahipleri tarafından sıklıkla yüklenen aşağıdaki yazılımlar hedef alınıyor:
- CrystalDiskInfo
- HWMonitor
- Display Driver Uninstaller
- FurMark
- K-Lite Codec Pack
- PDFgear
Sistem enfekte olduğunda, saldırgan ScreenConnect adlı uzaktan yönetim aracını kullanarak kalıcı bir erişim sağlıyor. Bu tool, daha sonra ek kötü amaçlı yazılımların yüklenmesi için kullanılabilir.
Etkilenen Sistemler
Microsoft araştırmacıları, saldırının başlangıçta kullanıcıların hedef yazılımları ararken karşılaştıkları kötü niyetli bağlantılar aracılığıyla gerçekleştiğini belirtiyor. 2023 yılı Nisan ayında yapılan raporlar, kullanıcıların yapay zeka tabanlı asistanlarla etkileşime girdikten sonra bu kötü niyetli alanlara yönlendirildiğini öne sürdü. Microsoft’a göre, AI chatbot’ları üzerinden yazılım indirme önerileri arayan kullanıcılar, saldırgan kontrolündeki alanlara giden bağlantılarla karşılaşıyorlar.
Kötü niyetli indirme, gleeze[.]com alt alanında barındırılan bir ZIP arşivi olarak ortaya çıkıyor. Bu domain, daha önce phishing siteleri ile ilişkilendirilerek işaretlenmiştir.
Arşiv, meşru bir yardımcı yazılımın çalıştırılabilir dosyasını ve zarar veren bir DLL dosyasını içeriyor. Bu DLL, masum ikili dosya başlatıldığında otomatik olarak yükleniyor.
Çözüm ve Korunma
Microsoft araştırmacıları, DLL’nin msiexec.exe kullanarak vcredist_x64.dll adlı bir yükleyici kurduğunu keşfetti. Saldırgan, uzaktan erişim sağlamak için ScreenConnect oturumunu kurduktan sonra, SimpleRunPE.exe adlı ek bir ikili dosya bırakıyor. Bu dosya, kendisini RuntimeHost.exe olarak bir klasöre kopyalamakta ve birçok Windows otomatik başlatma konumu üzerinden kalıcılığını sağlamak için kullanılmaktadır.
Malware, çevresel kontrollerde sanal makineleri ve analiz araçlarına yönelik 40 işlem adını kontrol eder; herhangibirini tespit ettiğinde çalışmasını durdurur. Süreç “hollowing” aşamasını tamamladıktan sonra ise, gmine, lolMiner ve SRBMiner-MULTI gibi üç madencilik modülünden biri yüklenir ve çalıştırılır.
Sonuç
Bu saldırılar, yalnızca kullanıcıların bilgisayarlarını değil, aynı zamanda güvenilir kaynaklardan yazılım yükleme alışkanlıklarını da etkilemektedir. Kullanıcıların aşağıdaki önlemleri etkin bir şekilde alması gerekmektedir:
- Sistemlerinizi güncelleyin.
- Kötü niyetli alanları engelleyin.
- Microsoft Defender ve benzeri güvenlik araçlarını güncel tutun.
- Güvenilir kaynaklardan yazılım indirdiğinizden emin olun.
Bu adımlar, potansiyel tehlikelerden korunmanıza ve sistemlerinizi güvence altına almanıza yardımcı olacaktır.
