Palo Alto Networks'ün güvenlik araştırma birimi Unit 42, Nisan 2026'da başlayan ve tüm dünyadaki tüketicilerle küçük ve orta ölçekli işletmeleri hedef alan yeni bir siber saldırı kampanyasını ortaya çıkardı. Bu kampanya, hassas kripto para verilerini çalmak ve Monero madenciliği yapmak üzere tasarlanmış iki farklı kötü amaçlı yazılımı bir arada kullanıyor. Saldırganlar, meşru yazılımların kırık sürümlerini taklit ederek kullanıcıları kandırıyor.
Saldırganlar, JustWatch GmbH gibi popüler bir Alman yayın akışı rehberi hizmetinin yanı sıra BleacherReport[.]com sertifikasını taklit eden web siteleri üzerinden kötü amaçlı dosyaları indirmeye yönlendiriyor. JustWatch'un kendisinin güvenliği ihlal edilmemiş olsa da, bu tür sahte siteler kullanıcıları tuzağa düşürmek için kullanılıyor. Dosyalar, .bin uzantılı parola korumalı arşivler olarak sunuluyor ve bu da e-posta ağ geçitlerini atlatmak ve otomatik kum havuzu analizini engellemek için bilinçli bir seçim olarak değerlendiriliyor.
Unit 42 araştırmacıları, saldırganların süreç numaralandırma ve AMSI baypas gibi anti-analiz teknikleri kullandığını tespit etti. AMSI baypas tekniği, AmsiScanBuffer işlevini yamalayarak bazı güvenlik yazılımlarının tespitini engelliyor. Bu teknikler, yükleyicinin Vidar bilgi hırsızı ve XMRig kripto para madencisini başarıyla dağıtmasını sağlıyor.
Vidar, hedefin tarayıcı kimlik bilgileri, çerezler ve kripto cüzdanları gibi hassas bilgilerini çalıyor. XMRig ise Monero madenciliği yaparak, kurbanın bilgisayarının işlemcisini kullanarak karmaşık matematiksel problemleri çözüyor ve ağ işlemlerini doğrulayarak blok zincirini güvence altına alıyor. Bu işlem karşılığında yeni basılmış Monero coinleri kazanılıyor.
Nasıl Önlem Alınmalı?
Unit 42 araştırmacıları, bu kampanyanın arkasındaki operatörün ikili bir para kazanma şeması yürüttüğünü belirtiyor: 'Suçlular, Vidar tarafından çalınan kimlik bilgilerini ve oturum çerezlerini suç log pazarlarında satarken, XMRig, kaçırılan CPU döngülerinden pasif gelir sağlıyor.' Bu yaklaşım, saldırganların tek bir enfeksiyondan birden fazla gelir akışı elde etmesine olanak tanıyor.
Uzmanların Görüşleri
Araştırmacılar, yükleyicinin Factory-v3 çerçevesini kullandığına dair kanıtlar buldu. Factory-v3, farklı bilgi hırsızı aileleri için kullanılan, iyi bilinen bir hizmet olarak kötü amaçlı yazılım (MaaS) oluşturucusudur. Bu yapıcının, en az iki farklı bilinen bilgi hırsızı iştiraki tarafından kullanılan ayrı bir yukarı akış hizmeti olduğu değerlendiriliyor. Ayrıca saldırganların komuta ve kontrol (C2) iletişimi için Telegram kullandığı keşfedildi.
Telegram operatör bildirimlerinde her yeni kurban enfeksiyonu için 'X3D MINER' etiketi kullanılıyor. Bu davranış, daha önce XMRig dağıtan ve XMRig'i diğer programlarla birleştiren bilinen bir tehdit grubuyla ilişkilendirildi. Saldırganlar, sürekli olarak yeni kurbanlar bulmak ve enfeksiyonları yaymak için malvertising ve sahte yazılım indirmeleri gibi yöntemleri kullanıyor.
Detaylar ve Etkileri
Bu kampanya, özellikle kripto para kullanıcıları ve küçük işletmeler için ciddi bir tehdit oluşturuyor. Kullanıcıların yalnızca güvenilir kaynaklardan yazılım indirmesi, güvenlik yazılımlarını güncel tutması ve şüpheli e-posta eklerine veya reklamlara tıklamaktan kaçınması öneriliyor. Ayrıca, kimlik avı saldırılarına karşı dikkatli olmak ve iki faktörlü kimlik doğrulama (2FA) kullanmak da önemli bir koruma sağlıyor.
Kaynak: infosecurity-magazine.com