Kripto para madenciliği kötü amaçlı yazılımları, Google Translate ve MP3 indiricileri olarak gizlenmiş 11 ülkede devam eden bir kampanyada yakın zamanda bulundu.
Sahte uygulamaları dağıtmak için ücretsiz yazılım sunan yasal siteler bunları kullanıcılarına dağıtıyor. Buna ek olarak, arama motorlarının kullanıcılarını bu sitelere düzenli ziyaretler yaparak kötü amaçlı uygulamalara da maruz bırakmaktadır.
Bu kötü amaçlı yazılımın tespiti Check Point güvenlik analistleri tarafından gerçekleştirilmiştir. Nitrokod, kullanıcıya kötü amaçlı yazılımdan arınmış olarak sunulan ve reklamı yapılan işlevselliği sağlayan kötü amaçlı yazılımın geliştiricisidir.
Enfeksiyon Zinciri
Nitrokod kampanyalarının çoğu, İnternet’ten indirilen virüslü bir dosyadan başlayarak, virüs bulaşmış bir dosyanın yüklenmesiyle başlayan benzer enfeksiyon zincirlerini takip eder.
Google Çeviri uygulaması, kullanıcı yeni yazılımı başlattığında ve yükleme işlemi tamamlandığında gerçekten yüklenir.
Dosyanın daha yeni bir sürümü daha sonra bırakılacak ve bu, sonunda gerçek kötü amaçlı yazılımı bilgisayara getirecek olan bir dizi dört damlalık başlatacaktır.
Başlangıçta, kötü amaçlı yazılım çalıştırıldığında, XMRig kripto madencisini kötü amaçlı yazılım etkinleştirilir etkinleştirilmez madenciliğe başlayacak şekilde yapılandıracak olan komuta ve kontrol (C&C) sunucusuna bağlanacaktır.
Arama sonuçları açısından, Nitrokod Google’da üst sıralarda yer alır, bu nedenle web sitesi belirli bir hizmet arayan kullanıcılar için mükemmel bir yakalama işlevi görür.
İşte Check Point’teki uzmanların söyledikleri: –
“Kötü amaçlı yazılımın kötü amaçlı bileşenlerinin yüklenmesi sırasında, tespitten kaçınmak için yazılım, kasıtlı olarak süreci bir aya kadar erteliyor.”
Uygulama orada yayınlandıktan sonra Softpedia’da Nitrokod’un Google Çeviri Uygulaması 112.190’dan fazla indirildi.
Şüphe uyandırmamak ve sandbox analizini engellemek için yazılım tarafından etkinleştirilen bir damlalık vardır. Enfeksiyonun beşinci günü boyunca, Wget tarafından o dosyadan yüklenen bir damlalık içeren başka bir şifreli RAR dosyası iletildi.
15 günlük bir sürenin ardından yazılım, PowerShell komutlarını kullanarak aşağıdaki web portalından bir sonraki şifreli RAR’ı getirir:
Öneri
Kripto madenciliği kötü amaçlı yazılım riski, donanım stresine ve aşırı ısınmaya neden olabileceğinden, donanıma zarar verebileceğinden oldukça yüksek olabilir.
Ayrıca, ek CPU kaynakları kullanarak bilgisayarınızın performansını etkiler ve bu da daha yavaş bir bilgisayarla sonuçlanır.
Böyle bir durumu veya tehdidi azaltmak için aşağıda belirttiğimiz tavsiyelere uymalısınız:-
- Her zaman bilinmeyen kaynaklardan uygulama indirmekten kaçının.
- Resmi olmayan işlevler vaat eden uygulamaları indirmeyin.
- Bir uygulamayı indirmeden önce daima geliştirici profilini doğrulayın.
- Herhangi bir uygulamayı indirmek için spam içerikli bağlantılara tıklamaktan kaçının.
Güvenli Azure AD Koşullu Erişimi – Ücretsiz E-Kitap İndirin