Aylık 5 milyon ziyaretçisi olan tanınmış platformlardan biri olan Thesaurus’u öğrenciler, yazarlar ve kelime dağarcığını ve dil becerilerini geliştirmek isteyen herkes sıklıkla kullanıyor.
Group-IB’deki siber güvenlik analistleri yakın zamanda popüler bir Thesaurus sitesinde, ziyaretçilere kripto para madenciliği yapmak ve potansiyel olarak daha zararlı yazılımlar dağıtmak için kötü amaçlı yazılım bulaştıran bir kripto hırsızlığı planı buldu.
Group-IB’nin 7/24 izlemesi, Group-IB MXDR tarafından işaretlenen kötü amaçlı arşivleri tespit etti ve ‘chromium-patch-nightly.00′ gibi olağandışı arşiv adlarına sahip birden fazla müşteri şirketi arasında kötü amaçlı yazılımlarda bir artış olduğunu ortaya çıkardı.[0-9]{3}.[0-9]{3}.zip’
Ancak benzerlik, ortak bir kaynağı ve alışılmadık bir saldırıyı akla getiriyordu.
Cryptojacking Kampanyası
Kötü amaçlı arşivler, Group-IB’nin Kötü Amaçlı Yazılım Patlatma Platformuna gönderildi ve burada güvenli bir sanal ortamda analiz edildi. Arşivler, anonimlik özellikleriyle bilinen Monero kripto para birimi madenciliği için kullanılan XMRig Coinminer’ı yükleyen bir damlalık içeriyordu.
Analistler arşiv kaynağını belirlemek için MXDR’nin EDR modülünü kullandılar ve bunların etkilenen iş istasyonlarındaki İndirilenler klasörüne indirildiğini keşfettiler.
İndirilenler klasörü genellikle indirmeler için kullanıldığından, uzmanlar yerleşik Group-IB EDR özelliğini kullanarak tarayıcı geçmişini incelediler ve kötü amaçlı örneğin kaynağını izlemek için yapay yapıları çıkardılar.
Group-IB analistleri, eş anlamlılar sözlüğü web sitesini ziyaret etmenin kötü amaçlı arşivlerin otomatik olarak indirilmesine yol açtığı sinsi bir enfeksiyon zincirinin izini sürdü. İlginç bir şekilde, yaramazlık zıt anlamlılar bölümünden kaçındı.
Group-IB Malware Detonation ile analiz yaptıktan sonra Header.ImageFileName filtresini kullanarak damlalık etkinliğini kontrol ettiler, izler buldular ancak gerçek bir başlatma olmadı.
Group-IB, indirilen dropper için herhangi bir ana bilgisayar başlatması bulamadı ve MXDR sisteminin olay yorumları bölümünde bağlam ve önleme ipuçları sunarak müşterileri derhal uyardı.
Kötü Amaçlı Yazılım Patlatma Platformundan gelen onay, Group-IB MXDR’nin EDR aracısının kötü amaçlı dosyaları otomatik olarak engellemesi ve karantinaya almasıyla, arşivlenen dosyanın tehdidini anında ortadan kaldırır. Ayrıca, kötü amaçlı dosya karmalarını paylaşarak, dosyaya hiç sahip olmasalar bile diğer müşterilerin engellenenler listelerini etkiler.
Milyonlarca kişi ünlü eş anlamlılar sözlüğü sitesine güvendi, ancak burada bir madenci bulunuyordu ve popüler sitelerin güvenli olduğu efsanesi ortaya çıktı. Tehdit aktörleri, sahte bir hata sayfası aracılığıyla doğrudan indirme ve sosyal mühendislik gibi iyi bilinen taktikleri kullandı.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- İşletim sistemini ve diğer yazılımları güncel tuttuğunuzdan emin olun.
- Yazılım ve güncellemeler için daima resmi kaynaklara bağlı kalın.
- CPU/GPU kullanımı alışılmadık şekilde arttığında, Görev Yöneticisi veya benzer araçlar aracılığıyla kripto madenci işaretleri için iş istasyonu kaynak kullanımını izleyin.
- Kötü amaçlı indirmeleri durdurmak ve saldırıları en erken aşamada önlemek için EDR çözümlerini kullanın.
- Gelişmiş Kötü Amaçlı Yazılım Patlatma Platformlarıyla şüpheli dosyaları güvenle analiz edin.