Cyble Research & Intelligence Labs (CRIL) kısa süre önce, tehdit aktörleri tarafından yardımcı yazılım araçlarını kullanarak kripto para madenciliği yazılımları sunmak için kullanılan bir kimlik avı kampanyasını ortaya çıkardı.
Bu özel kampanya, oyuncular ve diğer yüksek performanslı bilgi işlem kullanıcıları tarafından yaygın olarak kullanılan, iyi bilinen MSI Afterburner’dan yararlandı. Sistem performansını izlemek için kullanılan en iyi bilinen grafik kartı yazılımlarından biri olması nedeniyle, kullanıcıların sistem performansını artırmak ve piyasadaki en iyi grafik kartlarına hız aşırtma yapmak için donanım ayarlarını değiştirmesine izin verir.
Tehdit aktörleri, kötü amaçlı yazılımı dağıtmak için e-postaların, çevrimiçi reklamların, forumların ve diğer ortamların kullanımı dahil olmak üzere çeşitli yöntemler kullanır. Son üç ayda Cyble, tümü kötü amaçlı yazılım dağıtmak için MSI Afterburner’ı hedefleyen yaklaşık 50 kimlik avı web sitesi belirledi.
Bu web sitelerini oluşturan tehdit aktörleri, kullanıcıları kripto madenciliği işlemini gerçekleştiren madeni para madenciliği yapan kötü amaçlı yazılımları indirmeye çekmek için meşru MSI Afterburner sitelerini taklit eden gelişmiş kimlik avı sayfaları tasarladı.
Ancak, alan adlarına bakılarak sahte web siteleri tespit edilebilir. Cyble, (MSI-afterburner-download.site), (msi-afterburner.download) ve (mslafterburners dot com.) gibi bazı sahte etki alanlarını tanımladı. Bazıları zaten çevrimdışı, ancak daha fazlasının ortaya çıkması muhtemel.
Kötü amaçlı yazılım yükü, meşru MSI Afterburner yükleyicileriyle birlikte teslim edilir ve yüklemeden sonra kurbanın bilgisayarını ele geçirme sürecini başlatarak bilgisayar adı, kullanıcı adı, GPU, CPU ve sistemden diğer ayrıntılar gibi hassas bilgileri toplar. Teknik detaylar Cyble’ın analiz raporunda açıklanmıştır.
Kripto madenciliği, güç ve kaynak yoğun bir faaliyet olduğu için GPU’lar gibi özel donanımlar gerektirir. Tehdit aktörleri, kurbanın makinesinin işlem gücünü ele geçirerek, onların rızası olmadan kripto para madenciliği yapabilir. Bu, kurbanın genel sistem performansını ciddi şekilde düşürür ve sistem kaynaklarını tüketerek, kurban kullanıcının veya kuruluşun üretkenliğini önemli ölçüde etkiler.
Cihazlarının bu tür bir kimlik avı kampanyasının kurbanı olmamasını sağlamak için kullanıcıların alabileceği pek çok önlem vardır. Sistem performansınızı ve CPU kullanımınızı düzenli aralıklarla kontrol etmeniz, Warez/Torrent’ten korsan yazılım indirmekten kaçınmanız ve yalnızca resmi web sitelerine güvenmeniz önerilir.
Ayrıca, cihazlarınızda otomatik yazılım güncelleme özelliğini açın, tanınmış antivirüs kullanın, güvenilmeyen bağlantıları ve e-posta eklerini açmaktan kaçının ve uç noktaları ve sunucuları CPU ve RAM kullanımında olası kötü amaçlı yazılım bulaşmasını ortaya çıkarabilecek beklenmedik ani artışlara karşı izleyin.