Kripto Para Hırsızlığı ve Monero Madenciliği: Yeni Vidar Infostealer Kampanyası Dünyayı Hedef Alıyor Linux

Kripto Para Hırsızlığı ve Monero Madenciliği: Yeni Vidar Infostealer Kampanyası Dünyayı Hedef Alıyor

Yeni bir siber saldırı kampanyası, Vidar infostealer ve XMRig madencisi ile kripto para cüzdanlarını ve Monero'yu hedef alıyor.

Siber güvenlik dünyasında yeni bir tehdit dalgası yayılıyor. Palo Alto Networks'ün araştırma kolu Unit 42, Nisan 2026'da tespit edilen ve dünya genelinde tüketiciler ile küçük ve orta ölçekli işletmeleri hedef alan bir saldırı kampanyasını gün yüzüne çıkardı. Bu kampanya, hem hassas kripto para verilerini çalmak hem de Monero (XMR) madenciliği yapmak için tasarlanmış. Saldırganlar, kullanıcıları cracked yazılım indirme sayfalarına yönlendiren malvertising (kötü amaçlı reklam) tekniklerini kullanıyor.

Saldırının ilk aşamasında, kurbanlara JustWatch GmbH gibi tanınmış bir Alman yayın akışı rehberi hizmetini veya BleacherReport.com sertifikasını taklit eden sahte dosyalar sunuluyor. JustWatch'ın kendisinin tehlikeye atılmadığını vurgulayan araştırmacılar, bu dosyaların .bin uzantılı ve parola korumalı arşivler olarak teslim edildiğini belirtiyor. Bu yöntem, e-posta ağ geçidi taramasını atlatmak ve otomatik sandbox analizini engellemek için bilinçli olarak seçilmiş.

Saldırganlar, tespit edilmeyi zorlaştırmak için gelişmiş anti-analiz teknikleri de kullanıyor. Bunlar arasında süreç numaralandırma (process enumeration) ve AMSI (Antimalware Scan Interface) baypası yer alıyor. AMSI baypasında, AmsiScanBuffer işlevi yamalanarak bazı güvenlik yazılımlarının kötü amaçlı yazılımı algılaması engelleniyor. Bu sayede yükleyici (loader), Vidar infostealer ve XMRig Monero madencisini sisteme başarıyla bırakabiliyor.

Vidar, tarayıcı kimlik bilgileri, çerezler ve kripto para cüzdanları gibi hassas bilgileri çalıyor. XMRig ise kurbanın işlemci gücünü kullanarak Monero blok zincirindeki işlemleri doğrulamak için karmaşık matematik problemlerini çözüyor. Bu sayede saldırganlar, yeni basılan Monero coin'leri ile ödüllendiriliyor. Unit 42 araştırmacılarına göre, bu kampanyanın arkasındaki operatör çift yönlü bir para kazanma şeması yürütüyor: Vidar ile çalınan kimlik bilgileri ve oturum çerezleri kara borsalarda satılırken, XMRig ise kurbanların CPU döngülerini kullanarak pasif gelir sağlıyor.

Araştırmacılar, yükleyicinin 99 farklı örneğini inceledi ve hepsinin Factory-v3 çerçevesini kullandığını tespit etti. Factory-v3, farklı infostealer aileleri için kullanılan popüler bir malware-as-a-service (MaaS) aracı. Bu çerçevenin, en az iki farklı infostealer grubu tarafından kullanılan ayrı bir üst hizmet olduğu değerlendiriliyor. Ayrıca, saldırganların komuta ve kontrol (C2) iletişimi için Telegram kullandığı keşfedildi. Telegram operatör bildirimlerinde görülen 'X3D MINER' etiketi, daha önce XMRig dağıtan ve diğer programlarla birleştiren bilinen bir tehdit grubuyla ilişkilendiriliyor.

Bu kampanya, siber suçluların kripto para ekosistemini hedef alan sofistike yöntemler geliştirdiğini gösteriyor. Kullanıcıların, özellikle cracked yazılım indirmekten kaçınmaları, güvenlik yazılımlarını güncel tutmaları ve şüpheli e-posta eklerine karşı dikkatli olmaları önem taşıyor. Kurumsal kullanıcılar için ise ağ trafiğinin izlenmesi, AMSI korumasının güçlendirilmesi ve çalışanların sosyal mühendislik saldırılarına karşı eğitilmesi kritik önlemler arasında yer alıyor.

Kaynak: infosecurity-magazine.com

Paylaş: