Sofistike bir kimlik avı kampanyasında, açığa çıkarılan siber suçlular, geliştiricileri hedef almak ve XMRig kripto madencisini dağıtmak için CrowdStrike’ın işe alım markasını kullanıyor.
Bu aldatıcı operasyon, sahte iş tekliflerinden yararlanarak şüphelenmeyen kurbanları “çalışan CRM uygulaması” görünümündeki kötü amaçlı yazılımları indirmeye ikna ediyor.
Saldırı, CrowdStrike’ın işe alım sürecini taklit eden, dikkatle hazırlanmış bir kimlik avı e-postasıyla başlıyor. Alıcılar, CrowdStrike’ın resmi işe alım portalını yakından taklit eden sahte bir web sitesine yönlendiriliyor.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
CrowdStrike analizine göre site, hem Windows hem de macOS için indirme seçenekleri sunarak meşruiyet yanılsaması yaratıyor.
Enfeksiyon Süreci
Kurbanlar, seçilen işletim sistemi ne olursa olsun, bilmeden Rust’ta yazılmış bir Windows yürütülebilir dosyasını indiriyor. Bu gelişmiş düşürücü, güvenlik önlemlerini atlatmak için birden fazla kaçırma tekniği kullanır:
- Hata ayıklamayı önleme kontrolleri: Kötü amaçlı yazılım, bir hata ayıklayıcının eklenip eklenmediğini algılamak için IsDebuggerPresent Windows API’sini kullanır.
- Sistem gereksinimleri: Ana bilgisayar sisteminin minimum sayıda aktif işleme ve en az iki CPU çekirdeğine sahip olduğunu doğrular.
- Analiz karşıtı önlemler: Damlalık, izlenen ortamlarda yürütmeyi önlemek için yaygın kötü amaçlı yazılım analizi ve sanallaştırma araçlarını tarar.
CrowdStrike raporuna göre, bu kontroller başarılı olursa, kötü amaçlı yazılım, arka planda kötü amaçlı faaliyetlerini sürdürürken meşru bir uygulama yanılsamasını sürdürmek için sahte bir hata mesajı görüntüler.
Bu kampanyanın birincil yükü, genellikle siber suçlular tarafından kötüye kullanılan popüler bir açık kaynaklı kripto para madenciliği yazılımı olan XMRig’dir. XMRig kurulduktan sonra kurbanın bilgisayar kaynaklarını ele geçirerek gizlilik odaklı bir kripto para birimi olan Monero’yu çıkarıyor.
XMRig’in etkinliği, çeşitli donanım yapılandırmalarında madencilik potansiyelini en üst düzeye çıkararak hem CPU hem de GPU kaynaklarını kullanma yeteneğinde yatmaktadır. Bu, virüs bulaşmış sistemlerde önemli performans düşüşüne neden olabilir ve bu sistemlerin yanıt vermemesine neden olabilir.
Bu kampanya, hem işletmeleri hem de bireyleri hedef alan daha geniş bir cryptojacking saldırıları eğiliminin bir parçasıdır. Gelişmiş sosyal mühendislik tekniklerinin gelişmiş kötü amaçlı yazılım kaçırma taktikleriyle bir araya getirilmesi, siber tehditlerin gelişen doğasını vurgulamaktadır.
Kuruluşlara güçlü e-posta filtreleme sistemleri uygulamaları, düzenli güvenlik farkındalığı eğitimleri düzenlemeleri ve güncel uç nokta koruma çözümlerini sürdürmeleri tavsiye ediliyor.
Özellikle teknoloji sektöründe veya aktif olarak iş arayan kişiler, istenmeyen iş teklifleri veya yazılım indirme talepleriyle etkileşimde bulunurken dikkatli olmalıdır.
Cryptojacking’e Karşı Koruma
Cryptojacking saldırıları riskini azaltmak için uzmanlar şunları öneriyor:
- Güçlü erişim kontrolleri ve çok faktörlü kimlik doğrulamanın uygulanması
- Tüm sistemlerin ve yazılımların düzenli olarak güncellenmesi ve yamalanması
- Ağ trafiğini alışılmadık modeller veya bilinen madencilik havuzlarına bağlantılar açısından izleme
- Kripto madenciliği kötü amaçlı yazılımlarını tanımlamak ve engellemek için uç nokta algılama ve yanıt (EDR) çözümlerini kullanma
Siber suçlular yenilik yapmaya devam ederken, en son tehditler hakkında bilgi sahibi olmak ve proaktif bir güvenlik duruşu sürdürmek hem bireyler hem de kuruluşlar için hayati önem taşıyor.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!