Yazılım paketleri oluşturmak için kullanılan meşru bir Windows aracıdır. Gelişmiş Yükleyici En az Kasım 2021’den bu yana, tehdit aktörleri tarafından virüslü makinelere kripto para madenciliği amaçlı kötü amaçlı yazılım bırakmak için istismar ediliyor.
Cisco Talos araştırmacısı, “Saldırgan, Adobe Illustrator, Autodesk 3ds Max ve SketchUp Pro gibi diğer yasal yazılım yükleyicilerini kötü amaçlı komut dosyalarıyla paketlemek için Gelişmiş Yükleyici’yi kullanıyor ve yazılım yükleyicilerinin kötü amaçlı komut dosyalarını yürütmesini sağlamak için Gelişmiş Yükleyici’nin Özel Eylemler özelliğini kullanıyor.” Chetan Raghuprasad teknik bir raporda şunları söyledi.
Truva atı haline getirilen uygulamaların niteliği, kurbanların büyük olasılıkla mimarlık, mühendislik, inşaat, imalat ve eğlence sektörlerini kapsadığını gösteriyor. Yazılım yükleyicileri ağırlıklı olarak Fransızca dilini kullanıyor, bu da Fransızca konuşan kullanıcıların dışlandığının bir işareti.
Bu kampanya, bu endüstrilerin günlük operasyonları için yüksek Grafik İşleme Birimi (GPU) gücüne sahip bilgisayarlara güvenmeleri nedeniyle stratejiktir ve bu da onları kripto hırsızlığı için kazançlı hedefler haline getirir.
Cisco’nun saldırganın altyapısına gönderilen DNS isteği verileri üzerinde yaptığı analiz, mağduriyet ayak izinin Fransa ve İsviçre’yi kapsadığını, ardından ABD, Kanada, Cezayir, İsveç, Almanya, Tunus, Madagaskar, Singapur ve Vietnam’daki ara sıra enfeksiyonların geldiğini gösteriyor.
Saldırılar, muhtemelen ek tehditleri indirmek ve yürütmek için bir arka kapı görevi gören bir PowerShell betiği olan M3_Mini_Rat’ın yanı sıra PhoenixMiner ve lolMiner gibi birden fazla kripto para madenciliği kötü amaçlı yazılım ailesinin konuşlandırılmasıyla sonuçlanıyor.
İlk erişim vektörüne gelince, hileli yazılım yükleyicilerini kurbanın makinelerine ulaştırmak için arama motoru optimizasyonu (SEO) zehirleme tekniklerinin kullanılmış olabileceğinden şüpheleniliyor.
Yükleyici, başlatıldığında M3_Mini_Rat istemci saplamasını ve madenci ikili dosyalarını bırakan çok aşamalı bir saldırı zincirini etkinleştirir.
Raghuprasad, “M3_Mini_Rat istemcisi, esas olarak sistem keşfi gerçekleştirmeye ve diğer kötü amaçlı ikili dosyaları indirip çalıştırmaya odaklanan, uzaktan yönetim özelliklerine sahip bir PowerShell betiğidir” dedi.
Truva atı, uzak bir sunucuyla bağlantı kurmak üzere tasarlanmıştır, ancak şu anda yanıt vermemektedir ve bu işlem yoluyla dağıtılmış olabilecek kötü amaçlı yazılımın kesin yapısının belirlenmesini zorlaştırmaktadır.
Çok Savunmasız: Kimlik Saldırısı Yüzeyinin Durumunun Ortaya Çıkarılması
MFA’yı başardınız mı? PAM’mi? Hizmet hesabı koruması? Kuruluşunuzun kimlik tehditlerine karşı gerçekte ne kadar donanımlı olduğunu öğrenin
Becerilerinizi Güçlendirin
Diğer iki kötü amaçlı veri, makinenin GPU kaynaklarını kullanarak yasadışı bir şekilde kripto para birimi madenciliği yapmak için kullanılıyor. PhoenixMiner bir Ethereum kripto para madenciliği kötü amaçlı yazılımıdır, lolMiner ise aynı anda iki sanal para biriminin madenciliği için kullanılabilecek açık kaynaklı bir madencilik yazılımıdır.
Aracın yasal olarak kötüye kullanıldığı bir başka vakada Check Point, korumalardan kaçınmak amacıyla sahte kripto para birimi kimlik avı siteleri oluşturmak için Google Looker Studio’dan yararlanan yeni bir kimlik avı saldırısı türü konusunda uyarıda bulunuyor.
Güvenlik araştırmacısı Jeremy Fuchs, “Bilgisayar korsanları bunu para ve kimlik bilgilerini çalmak için tasarlanmış sahte kripto sayfaları oluşturmak için kullanıyor” dedi.
“Bu, bilgisayar korsanlarının Google’ın otoritesinden yararlandığını söylemenin uzun bir yoludur. Bir e-posta güvenlik hizmeti tüm bu faktörleri inceleyecek ve bunun bir kimlik avı e-postası olmadığına ve Google’dan geldiğine dair oldukça güven duyacaktır.”