Yeni Kötü Amaçlı Kampanya: Vidar Bilgi Hırsızı ve Monero Kripto Madencisi Hedef Alıyor Yazılım

Yeni Kötü Amaçlı Kampanya: Vidar Bilgi Hırsızı ve Monero Kripto Madencisi Hedef Alıyor

Yeni bir siber saldırı kampanyası, Vidar bilgi hırsızı ve XMRig Monero madencisi kullanarak hem hassas verileri çalıyor hem de kurbanların işlemcisini

Siber güvenlik araştırmacıları, dünya genelindeki tüketicileri ve küçük/orta ölçekli işletmeleri (KOBİ) hedef alan yeni bir kötü amaçlı kampanya tespit etti. Bu kampanya, hem hassas kripto para verilerini çalmak hem de gizlilik odaklı merkeziyetsiz bir kripto para olan Monero'yu madencilik yapmak için tasarlanmış. Saldırı, Palo Alto Networks'ün araştırma birimi Unit 42 tarafından Nisan 2026'da fark edildi ve detayları 7 Temmuz'da yayınlanan bir raporda açıklandı.

Saldırganlar, kurbanları çekmek için kötü amaçlı reklamlar (malvertising) kullanıyor. Bu reklamlar, kullanıcıları, telif hakkı korumalı yazılımların kırılmış sürümlerini taklit eden dosyaları indirmeye yönlendiren sayfalara yönlendiriyor. Özellikle, Almanya merkezli meşru bir yayın rehberi hizmeti olan JustWatch GmbH'nin kırılmış bir sürümü gibi görünen dosyalar kullanılıyor. Ayrıca, BleacherReport[.]com sertifikasını taklit eden bir dosya da mevcut. Araştırmacılar, JustWatch'un kendisinin tehlikeye atılmadığını belirtiyor.

Bu dosyalar, isimlerinde .bin uzantısı bulunan parola korumalı arşivler olarak teslim ediliyor. Unit 42 araştırmacıları, bu tekniğin bilinçli bir seçim olduğunu belirtiyor, çünkü bu yöntem e-posta ağ geçidi taramasını atlatıyor ve parola olmadan otomatik sanal alan analizini engelliyor. Saldırganlar ayrıca, süreç numaralandırma ve AMSI (Anti-Malware Scan Interface) atlatma gibi anti-analiz teknikleri kullanıyor. AMSI atlatma, AmsiScanBuffer işlevine yama yaparak bazı güvenlik yazılımlarının tespitini önlüyor.

Uzmanların Görüşleri

Yükleyici, Vidar bilgi hırsızı ve XMRig kripto para madencisini çalıştırıyor. Vidar, kurbanın ortamından tarayıcı kimlik bilgileri, çerezler ve kripto para cüzdanları gibi hassas bilgileri çalıyor. XMRig ise Monero madenciliği yaparak kurbanın bilgisayarının işlemcisini, ağ işlemlerini doğrulamak ve blok zincirini güvence altına almak için karmaşık matematik problemlerini çözmekte kullanıyor. Bu işlem, yeni basılmış Monero coinleri ile ödüllendiriliyor.

Unit 42 araştırmacıları, kampanyanın arkasındaki operatörün ikili bir para kazanma planı yürüttüğünü açıkladı: 'Suçlular, Vidar tarafından çalınan kimlik bilgilerini ve oturum çerezlerini suç piyasalarında satarken, XMRig, gasp edilmiş CPU döngülerinden pasif gelir sağlıyor.' Araştırmacılar, yükleyicinin 99 örneğini buldu ve hepsinin, farklı bilgi hırsızı aileleri için kullanılan iyi bilinen bir 'hizmet olarak kötü amaçlı yazılım' (MaaS) aracı olan Factory-v3 çerçevesini kullandığını tespit etti.

Araştırmacılar ayrıca, saldırganların komuta ve kontrol (C2) iletişimi için Telegram kullandığını keşfetti. Her yeni kurban enfeksiyonu için gönderilen Telegram operatör bildirimlerinde 'X3D MINER' etiketi yer alıyor. Bu davranış, daha önce XMRig teslim eden ve XMRig'i diğer programlarla birleştiren bilinen bir tehdit grubuyla ilişkilendiriliyor.

Kaynak: infosecurity-magazine.com

Paylaş: