Bir kripto para birimi olan Monero (XMR), 2025’in başlarında muhteşem bir dalgalanma gördü ve Mayıs ayında% 45 artarak Nisan ayında kayda değer bir zirve yaptı.
Bu dalgalanma, çalınan varlıkların tek bir birey tarafından Monero’ya dönüştürüldüğü ve gizlilik odaklı madeni paraya dikkat çektiği bildirildiği ABD’deki yüksek profilli bir bitcoin hırsızlığı ile çakıştı.
Bu finansal artışın ortasında, XMRIG Meşru Monero Madencilik Aracı, Nisan ayında önemli ölçüde optimizasyon güncellemeleri aldı ve potansiyel olarak hem meşru kullanıcıları hem de tehdit aktörlerini yeteneklerinden yararlanmak için çekti.
Kriptominasyon tehdidinin yükselişi
Bununla birlikte, Rusya, Azerbaycan ve Özbekistan’ı etkileyen 2023 versiyonlarının aksine, sofistike saldırı zincirlerini sergileyen ve Rusya, Belçika, Yunanistan ve Çin de dahil olmak üzere daha geniş bir ülkeyi hedef alan yeni bir kötü niyetli XMRIG varyant dalgası ortaya çıktı.

XMRIG tehdidinin bu evrimi, PowerShell gibi önceden yüklenmiş Windows araçlarını kullanarak yükleri yürütmek, algılamadan kaçınmak ve kalıcılık oluşturmak için kara ikili ve senaryoları (LOLBA’lar) tekniklerini kullanan çok aşamalı bir yaklaşımdan yararlanır.
En son XMRIG kötü amaçlı yazılım kampanyası, bilinmeyen bir başlangıç enfeksiyon vektörü ile başlar, ancak Svchost.exe, 1.cmd olarak adlandırılan bir toplu iş dosyası yürütmek için bir CMD işlemi oluşturduğunda kötü niyetli davranışı tetiklenir.
Rapora göre, bu komut dosyası yeniden enfeksiyonu önlemek için %AppData %\ temp dizininde bir işaretleyici dosyasını (check.txt) kontrol eder, ardından Windows Defender kayıt defteri ayarlarını taramalardan hariç tutmak için değiştirir.
Şüpheli alan notundan ikinci bir senaryo olan S2.bat’ı indirir[.]SU, keşif sırasında minimal antivirüs tespiti olan yeni kayıtlı bir site ve PowerShell aracılığıyla kullanıcıdan gizlenmiş olarak yürütür.
S2.BAT ayrıca, kötü amaçlı yazılımları kaldırabilecek sistem yamalarını önlemek için güncelleme ile ilgili planlanan görevlerin yanı sıra WUauserv (Windows Update Service), BITS ve TrustedenStaller gibi kritik Windows hizmetlerini devre dışı bırakarak dayanağını sağlamlaştırır.
Çok aşamalı bir saldırı zinciri
Daha sonra notiften kötü niyetli bir Xmrig madenci (miner.exe) indirir[.]SU, kendini HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ DJKONTAH kapsamında bir kayıt defteri girişi dahil ve ayrıcalık artışı için meşru bir Winring0 sürücüsü bırakan SU.
Özellikle, senaryolar, büyük dil modelleri (LLM’ler) veya deneyimsiz “senaryo çocukları” tarafından oluşturulmayı öneren düz metin yorumları içeren gizlemeden yoksundur, ancak basitlikleri, ilk keşif sırasında Virustotal gibi platformlarda düşük algılama oranları ile etkili olmuştur.
Açık kaynaklı zeka, etki alanı notifini gösterir[.]SU, Nisan ortasında 2025’te sona eren kötü amaçlı yazılım dosyalarına yapılan güncellemelerden haftalar sonra kaldırıldı.
Bu XMRIG varyantı, anlaşılmamış davranışlara sahip temel kötü amaçlı yazılımların bile Lolbas taktikleri aracılığıyla savunmaları nasıl atlayabileceğini gösterir.
G verilerinin genişletilmiş algılama ve yanıtı (XDR) gibi çözümler, bu tür faaliyetleri davranışsal analize dayalı olarak tespit edebilir ve kritik koruma sağlar.
Kullanıcılar, notif gibi alanlara şüpheli ağ trafiği gibi enfeksiyon belirtileri için uyanık kalmalıdır[.]SU veya sistem dizinlerinde beklenmedik dosyalar.
Uzlaşma Göstergeleri (IOCS)
Dosya/Etki Alanı | Sha256 karma | Tespit Adı |
---|---|---|
1. CMD | A5768c151a42d8a2b78f72d23ae7e6c2d6a458edd5f0a4649cc630614763b0 | Script.trojan-downloader.agent.bsd |
S2.bat | 3acf8d410f30186a800d5e8c3b0b0b0b0b0b0b0b0b0b061a6faf7c0939b129d230de42e9034ce6c3 | Script.trojan.coinminer.ef |
Miner.exe | f4386aaa87c92d5d7db28d808ad6471b1c4deb95d82a9e6cfe8421196c5610b | Win64.trojan-dropper.coinminer.857jr9 |
Dikkat çeken şey[.]var olan | N/A | N/A |
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.