Thesaurus, aylık 5 milyon ziyaretçisiyle en bilinen platformlardan biridir ve öğrenciler, yazarlar ve kelime dağarcığını ve dil becerilerini geliştirmek isteyen herkes tarafından düzenli olarak kullanılmaktadır.
Group-IB’deki siber güvenlik araştırmacıları yakın zamanda tanınmış bir eş anlamlılar sözlüğü web sitesinde bir kripto hırsızlığı tekniği keşfettiler. Bu plan, site kullanıcılarına bitcoin madenciliği yapmak için kötü amaçlı yazılım bulaştırır ve ayrıca başka kötü amaçlı yazılımlar da yükleyebilir.
Group-IB tarafından 7/24 yapılan izlemede, Group-IB MXDR tarafından tanımlanan zararlı arşivler bulundu ve bu, çeşitli müşteri firmalarında “chromium-patch-nightly.00” gibi garip arşiv adlarına sahip kötü amaçlı yazılımlarda bir artış olduğunu ortaya çıkardı.[0-9]3.[0-9]3.zip.”
Benzerlikler ise ortak bir kökene ve alışılmadık bir saldırı yöntemine işaret ediyordu.
Cryptojacking Kampanyası
Zararlı arşivler, Group-IB tarafından yönetilen Kötü Amaçlı Yazılım Detonasyon Platformu’na gönderilerek korumalı sanal ortamda derinlemesine incelemeye tabi tutuldu. Dosyalar, sağladığı gizlilik yetenekleriyle bilinen Monero kripto para biriminin madenciliğinde kullanılan XMRig Coinminer’ı yükleyen bir damlalık içeriyordu.
Analistler paketin kaynağını daraltmak için MXDR’nin EDR modülünü kullandılar ve paketin etkilenen iş istasyonlarındaki İndirilenler klasörüne indirildiğini buldular. Uzmanlar, kötü amaçlı örneğin kaynağını bulmak için tarayıcı geçmişini değerlendirdi ve yapıları çıkardı. Bu, İndirilenler klasörü genellikle dosyaları indirmek için kullanıldığından yapıldı. Analistler, bir eş anlamlılar sözlüğü için bir web sitesine gitmenin kötü amaçlı arşiv dosyalarının otomatik olarak indirilmesiyle sonuçlandığı kurnaz bir enfeksiyon zinciri keşfetti. Yaramazlığın zıt anlamlılar kısmını atladığını görmek ilginç.
Analizi yaptıktan sonra, izleri keşfeden ancak gerçek başlatmayı ortaya çıkarmayan damlalık etkinliğine dair kanıt aramak için Header’ı kullandılar. ImageFileName filtresini kullandılar.
Bu grup, indirilen damlalık için ana bilgisayar başlatılmadığını keşfetti ve müşterileri hemen bilgilendirdi. MXDR sisteminin olay yorumları bölümünde şirket, tüketicilere bağlam ve önleyici tavsiyeler sağladı.
Kötü Amaçlı Yazılım Patlatma Platformu’ndan onay alındıktan sonra, arşivlenen dosyanın oluşturduğu tehlike anında zararsız hale getirilir ve EDR aracısı, tehlikeli dosyaları anında bloke edip karantinaya alır. Ayrıca, söz konusu öğeyi hiç almamış olsalar bile, diğer müşterilerin engellenenler listeleri üzerinde etkili olabilecek tehlikeli dosyaların karmalarını da dağıtır.
Tanınmış web sitelerinin risksiz olduğuna dair yaygın inanç, bir madencinin bu web sitelerinden birinde çalıştığı keşfedildiğinde çürütüldü. Tehdit aktörleri, rastgele indirmeler ve sahte bir hata sayfası oluşturarak sosyal mühendislik de dahil olmak üzere, denenmiş ve doğrulanmış bir dizi yöntem kullandı.
Bilgi güvenliği uzmanı, şu anda risk altyapısı uzmanı ve araştırmacısı olarak çalışmaktadır.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.