Siber suçlular, USB sürücülerini enfeksiyon vektörleri olarak kullanmaya devam ediyor; son kampanyalar, tehlikeye atılmış iş istasyonlarında kalıcı kripto para birimi madenciliği operasyonları kuran gelişmiş CoinMiner kötü amaçlı yazılımlarını sunuyor.
Güvenlik araştırmacıları, virüs bulaşmış sistemlerde Monero kripto para birimi madenciliği yaparken tespit edilmekten kaçınmak için sosyal mühendislik ve kaçırma tekniklerinden yararlanan gelişen bir tehdidi belgelediler.
Şubat 2025’te AhnLab Güvenlik İstihbarat Merkezi (ASEC), “CoinMiner’ın USB Yoluyla Yayıldığı Vakalar” raporunda CoinMiner kötü amaçlı yazılımının Güney Kore’de USB yoluyla yayıldığını doğruladı.
Temmuz 2025’te Mandiant, aynı saldırı serisiyle ilgili bir rapor yayınladı ve yüklenen kötü amaçlı yazılımları DIRTYBULK ve CUTFAIL olarak sınıflandırdı.
Genel saldırı yöntemi önemli ölçüde değişmemiş olsa da, son saldırılarda kullanılan kötü amaçlı yazılım türü, önceki saldırılarda kullanılanlardan farklı olup, tespitten kaçınmak ve kalıcılığı korumak için tasarlanmış daha karmaşık bir enfeksiyon zincirini ortaya çıkarmaktadır.
CoinMiner Kötü Amaçlı Yazılım
Virüslü USB, kullanıcılara aldatıcı bir dosya yapısı sunuyor. USB sürücüsü, gizli “sysvolume” ve “USB Drive” klasörlerinin yanında bir “USB Drive.lnk” kısayol dosyasını görüntüler.
Kullanıcılar görünür kısayolu çift tıklattıklarında, gizli sysvolume klasöründe bulunan “u” (“u566387.vbs” gibi) ile başlayan, rastgele oluşturulmuş altı basamaklı bir dosya adıyla VBS kötü amaçlı yazılımını çalıştırır.
VBS kötü amaçlı yazılımı, iki kritik işlevi gerçekleştiren aynı adlandırma kuralına sahip bir BAT komut dosyasını tetikler.
İlk olarak, orijinal USB içeriğini içeren “USB Sürücüsü” klasörünü açarak kurbanların dosyalarına normal şekilde erişmesine olanak tanıyor ve enfeksiyonu maskeliyor.
İkinci olarak, Windows dizininde sonunda boşluk bulunan bir klasör oluşturur (örneğin, “C:\Windows \System32”) ve “u211553.dat” damlalık kötü amaçlı yazılımını “printui.dll” olarak yeniden adlandırarak bu klasöre kopyalar.
Meşru Windows “printui.exe” dosyası daha sonra bu dizine kopyalanır ve yürütülür ve kötü amaçlı DLL, DLL yandan yükleme teknikleri aracılığıyla yüklenir.
Enfeksiyon zinciri, son yükü dağıtmak için birden fazla damlatma aşaması kullanır. İlk printui.dll damlalığı, sistem dizininde “svcinsty64.exe” dosyasını oluşturur ve çalıştırır; bu da “%SystemDirectory%\wsvcz” klasöründe “wlogz.dat” adlı bir yapılandırma dosyasıyla birlikte “svctrl64.exe” dosyasını oluşturur.
Son damlalık aşaması “u826437.dll” dosyasını oluşturur ve kalıcılığı sağlamak ve sistem başlatıldığında yürütülmesini sağlamak için bunu Windows DcomLaunch hizmetine kaydeder.
DcomLaunch hizmeti tarafından yürütülen kötü amaçlı yazılım, PrintMiner olarak belirlendi. Yürütmenin ardından PrintMiner, kurulum dizinini Windows Defender dışlamalarına ekler ve sistemin uyku moduna girmesini önlemek için güç ayarlarını değiştirerek madencilik işlemlerinin sürekli olmasını sağlar.
Kötü amaçlı yazılım, r2.hashpoolpx adresinden komut ve kontrol sunucusuyla iletişim kurar[.]net, XMRig kripto para madencisi de dahil olmak üzere ek şifrelenmiş yükleri indirmeden önce CPU ve GPU spesifikasyonları dahil sistem bilgilerini iletmek için kullanılır.
“%SystemDirectory%\wsvcz\wlogz.dat” konumundaki yapılandırma dosyası, C&C sunucusu IP adresi, madencilik havuzu bilgileri ve yüklü kötü amaçlı yazılım yolları dahil olmak üzere kritik operasyonel verileri depolar. PrintMiner, USB yayılımı ve XMRig yürütme yönetimi için özel iş parçacıkları oluşturur.
Kaçınma ve Gizlilik Teknikleri
Tehdit aktörleri, tespit edilmekten kaçınmak için karmaşık kaçınma mekanizmaları uyguladı. XMRig yürütme iş parçacığı, çalışan işlemleri sürekli olarak izler ve madenciyi yalnızca belirli uygulamalar çalışmadığında etkinleştirir.
Kötü amaçlı yazılım, kullanıcılar sistem performansını araştırmaya çalıştığında madencilik etkinliğini gizlemek için Process Explorer, TaskMgr, System Informer ve Process Hacker gibi süreç inceleme araçlarını kontrol ediyor.
Ek olarak, kullanıcıları enfeksiyona karşı uyarabilecek performans düşüşünü önlemek için oyun oturumları sırasında madencilik işlemlerini sonlandırarak çok sayıda oyun istemcisi sürecini izler.
XMRig madenci, CPU kullanımını yüzde 50 ile sınırlayan parametrelerle yapılandırılmıştır ve r2.hashpoolpx adresindeki madencilik havuzuna TLS bağlantılarını kullanmaktadır.[.]net:443, güvenlik uyarılarını tetikleyebilecek ağ trafiği düzenlerini azaltmak için DNS TTL’si 3600 saniyeye ayarlandı.
Bu kampanya, uç nokta güvenliğindeki ilerlemelere rağmen USB tabanlı kötü amaçlı yazılım dağıtımının hâlâ geçerli bir saldırı vektörü olduğunu gösteriyor.
Autorun.inf özelliğinden yararlanan geçmiş saldırıların aksine, modern USB kötü amaçlı yazılımları, kullanıcıları kötü amaçlı kısayollar çalıştırmaya yönlendirmek için sosyal mühendisliğe dayanır.
Kuruluşlar, USB cihaz kontrollerini uygulamalı, kullanıcıları USB güvenlik riskleri konusunda eğitmeli ve şüpheli DLL yan yükleme ve hizmet değişikliği etkinliklerini tanımlayabilen uç nokta algılama çözümlerini dağıtmalıdır.
Yetkisiz kripto para madenciliği işlemlerinin ve bilinen madencilik havuzlarına ağ bağlantılarının düzenli olarak izlenmesi, aktif enfeksiyonların tespit edilmesine yardımcı olabilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.