Yeni bir kitle kötü amaçlı yazılım kampanyası, kullanıcıları bir kripto para madencisi ile bulaşıyor Silentcryptominer İnternet bloklarını ve çevrimiçi hizmetler etrafındaki kısıtlamaları atlatmak için tasarlanmış bir araç olarak maskelenerek.
Rus siber güvenlik şirketi Kaspersky, etkinliğin, siber suçluların kısıtlama bypass programları kisvesi altında kötü amaçlı yazılımları dağıtmak için Windows Packet Siverter (WPD) araçlarını giderek daha fazla kullandıkları daha büyük bir trendin bir parçası olduğunu söyledi.
Araştırmacılar Leonid Bezvershenko, Dmitry Pikush ve Oleg Kupreev, “Bu tür yazılımlar genellikle, geliştiricilerin güvenlik çözümlerini devre dışı bırakmayı, yanlış pozitiflere atıfta bulunmayı önerdikleri metin kurulum talimatlarına sahip arşivler şeklinde dağıtılıyor.” Dedi. Diyerek şöyle devam etti: “Bu, tespit riski olmadan korunmasız bir sistemde devam etmelerini sağlayarak saldırganların eline geçiyor.”
Yaklaşım, stealer’ları, uzaktan erişim araçlarını (sıçanlar), gizli uzaktan erişim sağlayan truva atanları ve NJrat, Xworm, Phemedron ve DCRAT gibi kripto para madencilerinin bir parçası olarak kullanılmıştır.
Bu taktikteki en son bükülme, derin paket muayenesine (DPI) dayalı blokları aşmak için bir araç olarak gizlenmiş bir madenciyle 2.000’den fazla Rus kullanıcıyı tehlikeye atan bir kampanyadır. Programın, 60.000 abone ile bir YouTube kanalı aracılığıyla kötü amaçlı bir arşiv bağlantısı şeklinde ilan edildiği söyleniyor.
Kasım 2024’te tespit edilen taktiklerin daha sonraki bir şekilde yükselmesinde, tehdit aktörleri, bu tür araç geliştiricilerinin sahte telif hakkı grev bildirimleriyle kanal sahiplerini tehdit etmek için taklit ettikleri ve kötü niyetli bağlantılarla video yayınlamalarını veya sözde ihlal nedeniyle kanallarının kapanmasını riske atmalarını talep ettiler.
Kaspersky, “Ve Aralık 2024’te kullanıcılar, o zamandan beri kapatılmış olan diğer telgraf ve YouTube kanalları aracılığıyla aynı aracın madenci ile enfekte olmuş bir versiyonunun dağılımını bildirdi.” Dedi.
Bulma sıkışmış arşivlerin, PowerShell üzerinden ikili çalıştırmak için değiştirilmiş meşru parti komut dosyalarından birinin ekstra bir yürütülebilir dosyasını paketlediği bulunmuştur. Sistemde yüklenen antivirüs yazılımının saldırı zincirine müdahale etmesi ve kötü amaçlı ikili silmesi durumunda, kullanıcılar güvenlik çözümlerini devre dışı bıraktıktan sonra dosyayı yeniden indirmeye ve çalıştırmaya çağıran bir hata mesajı görüntülenir.
Yürütülebilir dosyalar, Silentcryptominer madenci yükünü indiren ve kalıcılık oluşturan, ancak bir sanal kutuda çalışıp çalışmadığını kontrol etmeden önce ve Windows Defender dışlamalarını yapılandırmadan önce olmayan başka bir Python komut dosyası olan bir sonraki aşamalı kötü amaçlı yazılım almak için tasarlanmış Python tabanlı bir yükleyicidir.
Açık kaynaklı madenci XMRIG’ye dayanan madenci, dosya boyutunu yapay olarak 690 MB’ye şişirmek ve sonuçta antivirüs çözeltileri ve kum havuzları tarafından otomatik analizi engellemek için rastgele veri blokları ile doldurulur.
Kaspersky, “Gizlilik için Silentcryptominer, madencilik kodunu bir sistem sürecine (bu durumda DWM.Exe) enjekte etmek için süreç içi kullanıyor.” Dedi. Diyerek şöyle devam etti: “Yapılandırmada belirtilen işlemler etkinken kötü amaçlı yazılım madenciliğini durdurabilir. Bir web paneli aracılığıyla uzaktan kontrol edilebilir.”