Siber güvenlik dünyası, kripto para kullanıcılarını ve küçük-orta ölçekli işletmeleri hedef alan yeni bir tehdit kampanyasıyla sarsıldı. Palo Alto Networks'ün araştırma birimi Unit 42, Nisan 2026'da tespit ettiği bu kampanyada, saldırganların hem hassas kripto para verilerini çalmak hem de kurbanların işlemcilerini Monero madenciliği için kullanmak üzere iki aşamalı bir saldırı düzenlediğini duyurdu. Kampanya, özellikle cracked yazılım görünümlü kötü amaçlı dosyalarla kullanıcıları tuzağa düşürüyor.
Saldırı, kullanıcıları kötü amaçlı reklamlar (malvertising) aracılığıyla sahte indirme sayfalarına yönlendirerek başlıyor. Bu sayfalarda, JustWatch GmbH gibi meşru bir Alman yayın rehberi hizmetinin veya BleacherReport.com sertifikasına benzeyen bir sitenin kopyalanmış sürümleri gibi görünen dosyalar sunuluyor. Önemle belirtmek gerekir ki, JustWatch'ın kendisi ele geçirilmiş değil; saldırganlar sadece marka taklidi yapıyor. Dosyalar, .bin uzantılı ve parola korumalı arşivler halinde dağıtılıyor. Unit 42 araştırmacıları, bu yöntemin e-posta ağ geçitlerini atlatmak ve otomatik sanal ortam analizini engellemek için bilinçli olarak seçildiğini belirtiyor.
Saldırganlar, tespit edilmeyi zorlaştırmak için birden fazla anti-analiz tekniği kullanıyor. Bunlar arasında süreç numaralandırma (process enumeration) ve AMSI (Anti-Malware Scan Interface) atlatma yer alıyor. AMSI atlatma yönteminde, AmsiScanBuffer fonksiyonu yamalanarak bazı güvenlik yazılımlarının tehdidi algılaması engelleniyor. Bu teknikler, kötü amaçlı yazılımın yüklenmesini ve çalıştırılmasını kolaylaştırıyor.
Yükleyici (loader) başarıyla çalıştırıldığında, sisteme iki farklı kötü amaçlı yazılım bırakıyor: Vidar infostealer ve XMRig kripto para madencisi. Vidar, tarayıcı kimlik bilgileri, çerezler ve kripto para cüzdanları gibi hassas bilgileri sifonlayarak çalıyor. XMRig ise kurbanın işlemci gücünü kullanarak Monero madenciliği yapıyor. Monero, özel ve izlenemez işlemleriyle bilinen, merkeziyetsiz bir kripto para birimi. Madencilik, blok zincirini güvence altına almak için karmaşık matematiksel problemleri çözmeyi gerektiriyor ve karşılığında yeni Monero coin'leri kazanılıyor.
Unit 42 araştırmacıları, bu kampanyanın arkasındaki operatörün çift gelir modeli kullandığını belirtiyor: 'Suçlular, Vidar hırsızı tarafından çalınan kimlik bilgilerini ve oturum çerezlerini kara borsalarda satarken, XMRig ise gasp edilen CPU döngülerinden pasif gelir sağlıyor.' Bu model, siber suçluların tek bir saldırıdan birden fazla şekilde kazanç elde etmesine olanak tanıyor.
Araştırmacılar, kampanyada kullanılan 99 farklı yükleyici örneği buldu ve bunların tamamının Factory-v3 çerçevesi kullanılarak oluşturulduğunu tespit etti. Factory-v3, malware-as-a-service (MaaS) olarak sunulan ve farklı hırsızlık yazılımı aileleri için kullanılan popüler bir araç. Bu çerçevenin, en az iki farklı infostealer grubu tarafından kullanılan bağımsız bir üst hizmet olduğu değerlendiriliyor.
İlginç bir detay ise saldırganların komuta ve kontrol (C2) iletişimi için Telegram kullanması. Her yeni kurban enfeksiyonunda, Telegram operatör bildirimlerinde 'X3D MINER' etiketi görülüyor. Bu davranış, daha önce XMRig dağıttığı ve XMRig'i diğer programlarla birleştirdiği gözlemlenen bilinen bir tehdit grubuyla ilişkilendiriliyor. Bu bulgular, siber suçluların sürekli olarak yeni taktikler geliştirdiğini ve kripto para ekosisteminin güvenlik açıklarını hedef almaya devam ettiğini gösteriyor.
Kaynak: infosecurity-magazine.com