Vidar Hırsızı ve Monero Madencisiyle Çifte Tehdit: Yeni Kampanya Küresel Kullanıcıları Hedef Alıyor Siber Güvenlik

Vidar Hırsızı ve Monero Madencisiyle Çifte Tehdit: Yeni Kampanya Küresel Kullanıcıları Hedef Alıyor

Nisan 2026'da keşfedilen yeni bir siber saldırı, Vidar bilgi hırsızı ve XMRig Monero madencisini birleştirerek kullanıcıların hassas verilerini çalıyo

Küresel çapta tüketicileri ve küçük-orta ölçekli işletmeleri hedef alan yeni bir siber saldırı kampanyası, hem hassas kripto para verilerini çalmak hem de Monero madenciliği yapmak için tasarlandı. Nisan 2026'da Palo Alto Networks'ün araştırma birimi Unit 42 tarafından tespit edilen bu kampanya, çifte kazanç sağlamak amacıyla Vidar bilgi hırsızı (infostealer) ve XMRig kripto para madencisini aynı anda kullanıyor. Saldırganlar, kurbanların işlemci gücünü gasp ederek pasif gelir elde ederken, çalınan kimlik bilgilerini karanlık ağda satarak ikinci bir gelir akışı oluşturuyor.

Saldırı, malvertising (kötü amaçlı reklam) yoluyla başlıyor. Kullanıcılar, JustWatch GmbH gibi popüler bir Alman yayın akışı rehberi veya BleacherReport[.]com benzeri bir sitenin kırılmış (cracked) sürümlerini taklit eden dosyaları indirmeye yönlendiriliyor. JustWatch'ın kendisi tehlikeye atılmamış olsa da, saldırganlar bu markaların güvenilirliğini kullanarak kurbanları kandırıyor. Dosyalar, .bin uzantılı ve parola korumalı arşivler halinde sunuluyor. Unit 42 araştırmacılarına göre bu teknik, e-posta ağ geçidi taramalarını atlatmak ve otomatik güvenlik kum havuzlarının dosyayı analiz etmesini engellemek için bilinçli olarak seçilmiş.

İndirilen yük (loader), gelişmiş anti-analiz teknikleri kullanıyor. Süreç numaralandırma (process enumeration) ve AMSI (Antimalware Scan Interface) baypas gibi yöntemlerle güvenlik yazılımlarını atlatıyor. Özellikle AmsiScanBuffer fonksiyonuna yama yapılarak, Windows Defender gibi araçların kötü amaçlı kodu tespit etmesi engelleniyor. Bu teknikler, yükün fark edilmeden sisteme yerleşmesini ve ardından Vidar ile XMRig'i çalıştırmasını sağlıyor.

Vidar, kurbanın tarayıcı kimlik bilgileri, çerezler ve kripto para cüzdanları gibi hassas verilerini sifonluyor. Bu veriler daha sonra suç piyasalarında satılıyor. XMRig ise Monero madenciliği yaparak kurbanın işlemci gücünü kullanıyor. Monero'nun gizlilik odaklı yapısı, işlemlerin izlenmesini zorlaştırdığı için siber suçluların favori kripto paralarından biri. XMRig, blokzinciri doğrulamak için karmaşık matematik problemlerini çözerek yeni Monero coin'leri üretiyor ve bu coin'ler saldırganların cebine gidiyor.

Unit 42, bu kampanyada kullanılan yükün 99 farklı örneğini tespit etti. Tüm örnekler, Factory-v3 framework'ü kullanılarak oluşturulmuş. Factory-v3, bilgi hırsızı ailesi olarak bilinen ve hizmet olarak kötü amaçlı yazılım (MaaS) modeliyle sunulan bir yapı. Araştırmacılar, bu framework'ün en az iki farklı bilgi hırsızı grubu tarafından kullanıldığını belirtiyor. Ayrıca saldırganların komuta ve kontrol (C2) iletişimi için Telegram'ı kullandığı keşfedildi. Telegram operatör bildirimlerinde 'X3D MINER' etiketi kullanılıyor; bu etiket, daha önce XMRig dağıtan ve onu diğer programlarla birleştiren bir tehdit grubuyla ilişkilendiriliyor.

Bu kampanya, siber suçluların çifte para kazanma stratejisini gözler önüne seriyor. Bir yandan Vidar ile çalınan kimlik bilgileri ve oturum çerezleri suç piyasalarında satılırken, diğer yandan XMRig ile kurbanın işlemci döngüleri gasp edilerek pasif gelir elde ediliyor. Kullanıcılar için bu tür tehditlerden korunmanın en etkili yolu, yazılımları yalnızca resmi kaynaklardan indirmek, antivirüs yazılımlarını güncel tutmak ve şüpheli reklamlara tıklamamak. Ayrıca, kripto para cüzdanları için donanım cüzdanı kullanmak ve iki faktörlü kimlik doğrulamayı etkinleştirmek önemli önlemler arasında yer alıyor.

Kaynak: infosecurity-magazine.com

Paylaş: