Trojanlı kripto para madencileri olan Cryptojacker’lar, küresel olarak bilgisayarlara yayılmaya devam ederken, aynı zamanda daha gizli hale geliyor ve giderek daha fazla tespit edilmekten kaçınıyor.
Yeni analiz, Microsoft’un 365 Defender Araştırma Ekibi tarafından Perşembe günü yayınlandı.
Teknik yazı şöyle diyor: “Geçtiğimiz birkaç ay içinde Microsoft Defender Antivirus, her ay yüz binlerce cihazda kripto hırsızları tespit etti.”
“Bu tehditler de gelişmeye devam ediyor: Son zamanlardaki kripto hırsızları daha gizli hale geldi ve tespit edilmekten kaçınmak için karada yaşayan ikili dosyalardan (LOLBins) yararlandı.”
Raporda, Cryptojacker’ların, bir cihazı kullanıcının bilgisi veya onayı olmadan kripto para madenciliği yapmaya zorlamak için farklı taktikler kullandığı tespit edildi. En yaygın olanları, potansiyel olarak istenmeyen uygulamalar (PUA’lar) veya cihazlara yerleştirilen ve kripto para madenciliği yapmak için sistem kaynaklarını kullanan kötü amaçlı yürütülebilir dosyalardır.
Bunun yanı sıra Microsoft, araçların genellikle Javascript programlama dili kullanılarak oluşturulduğunu ve tarayıcı aracılığıyla sistemlere sızabileceğini de sözlerine ekledi. Bazı kripto hırsızlarının dosyasız olduğu ve bu durumda bir cihazın hafızasında madencilik gerçekleştirdikleri ve meşru araçları ve LOLBin’leri kötüye kullanarak kalıcılık elde ettikleri konusunda uyardılar.
Microsoft şöyle açıkladı: “Bu yaklaşım, saldırganların belirli kodlara veya dosyalara güvenmeden hedeflerine ulaşmasını sağlar. Ayrıca, dosyasız yaklaşım, kripto hırsızlarının sessizce teslim edilmesini ve tespit edilmekten kaçınmasını sağlar. Bunlar, dosyasız yaklaşımı saldırganlar için daha çekici hale getiriyor.”
Kötü amaçlı yazılım, donanımla etkileşimi analiz edilerek tespit edilebilir.
“Microsoft Defender Antivirus, Intel TDT ile entegrasyonu da dahil olmak üzere çeşitli sensörleri ve gelişmiş algılama metodolojileri sayesinde, günlük 200.000’den fazla cihazda meşru sistem ikili dosyalarından yararlanan kripto hırsızlarını görüyor.”