Giriş
Microsoft, yapay zeka (AI) sohbet robotları aracılığıyla kötü amaçlı indirme sitelerine yönlendiren aktif bir kripto madencilik kampanyası konusunda uyarılarda bulunuyor. Bu durum, sosyal mühendislik tekniklerinin evrildiğini ve kötü amaçlı yazılımların önerilerinin görünürlüğünün arttığını göstermektedir.
Saldırı Nasıl Çalışıyor?
Bu kampanyanın hedefi, CrystalDiskInfo , HWMonitor , Display Driver Uninstaller , FurMark , K-Lite Codec Pack , ve PDFgear gibi meşru sistem yardımcı programlarını taklit etmektir. Bu şekilde, yüksek performanslı grafik işlemcileri (GPU) bulunan kullanıcıları hedef almayı amaçlamaktadır. Bu teknik, sistemleri yüksek madencilik değeri olan hedefler olarak belirleyip daha fazla makineyi rastgele enfekte etmek yerine bu kullanıcıları hedef alır.
Kampanyanın hedefleri yalnızca maddi kazanç sağlamayı amaçlamıyor; tehdit aktörleri, ScreenConnect dağıtımları aracılığıyla ele geçirilmiş sistemlere sürekli uzaktan erişim kurmakta ve daha sonraki faaliyetler için bu erişimi kullanmaktadır. Aynı zamanda veri hırsızlığı, yatay hareketlilik ve fidye yazılımı gibi saldırılar için de kullanılabilir.
Microsoft, bu kampanyaya ilişkin etkinlikleri tespit edip engellediğini bildirmiştir.
Etkilenen Sistemler
Kampanya, kullanıcılara güvenilir sistem yardımcı programları ve donanım izleme yazılımları araması sırasında kötü amaçlı sitelere yönlendirmektedir. Bu siteler, arama motoru optimizasyonu (SEO) zehirlenmesi gibi tekniklerle manipüle edilmektedir. Kullanıcılar, AI sohbet robotlarıyla yazılım indirme önerileri için sorgulama yaptıklarında, saldırganların kontrolündeki alanlara yönlendirilmektedir.
Bu sahte indirme siteleri, tıklanabilir bir indirme düğmesi içermektedir; bu, gleeze[.]com subdomanından zararlı bir ZIP arşivini indirmektedir. Bu arşivde meşru bir çalıştırılabilir dosya ve başlatılınca “autorun.dll” adlı kötü niyetli bir DLL bulunmaktadır. Bu DLL, msiexec.exe ile “vcredist_x64.dll” adlı ikinci kötü niyetli DLL’yi kurmaktadır.
Tehdit Teknikleri ve Dağıtım
Elde edilen ScreenConnect , saldırgan kontrolündeki bir sunucu ile sürekli iletişim kurmaya çalışmaktadır. SimpleRunPE.exe adlı bir executable, kurulumdan sonra sistemde kalıcılık sağlar. Bu işlem, Kayıt defteri “Run” anahtarları ve planlanmış görevler aracılığıyla gerçekleştirilir. Ayrıca Microsoft Defender exclusions yapılandırılır ve analizi zorlaştırmak için sürecin içini boşaltma teknikleri kullanılır.
Hedef değiştiğinde ise, bir PowerShell scripti kullanılmakta ve ikincil ikili bir “vlc.exe” olarak saklanmakta; daha sonra yerel olarak başlatılmakta ve kendi kendini silmektedir.
Kötü niyetli ikili, saldırganın sunucusuyla iletişim kurar ve host bilgilerini gönderir. Ayrıca, çalışma zamanında uygun madenci arşivini indirerek yürütmektedir. Bu malzeme ile desteklenen üç madenci programı vardır: gmine, lolMiner, ve SRBMiner-MULTI.
Çözüm ve Korunma
Kötü niyetli yazılım, çalıştırıcı süreçleri durdurarak ve belirli süreçleri izleyerek devamlılık sağlamak için şunları kontrol etmektedir:
- taskmgr.exe (Windows Görev Yöneticisi)
- processhacker.exe, processhacker2.exe (Process Hacker)
- procexp.exe, procexp64.exe (Process Explorer)
- systeminformer.exe (Sistem Bilgilendirici)
Kampanyanın bu tehlikelerinin üstesinden gelmek için kullanıcıların aşağıdaki önlemleri almaları önerilmektedir:
- Yazılımlarınızı sürekli güncel tutun.
- Güvenilir olmayan yazılım indirme kaynaklarından kaçının.
- Ağ üzerinde izleme yaparak şüpheli etkinlikleri tespit edin.
- Portları kapalı tutun ve yalnızca gerekli olanları açın.
- Ayrıca, sisteminizde Microsoft Defender veya benzeri bir güvenlik yazılımı kullanarak düzenli taramalar gerçekleştirin.
Kullanıcılar, yüksek riskli sistemlerin korunması için gerekli adımları atmalı ve kötü niyetli yazılımlara karşı proaktif bir yaklaşım benimsemelidir.
