Darktrace, kriptominasyon için Windows karakter haritasını kaçırma, günlük yazılım süreçlerinde gizli saldırılar risklerini ortaya koyarak yeni kötü amaçlı yazılımları bildiriyor.
Siber güvenlik yapay zeka firması Darktrace, günlük Windows yazılımını gizlice kripto para birimine götürmek için takan sofistike bir kampanyanın ayrıntılarını paylaştı. Araştırma, siber analist Keanna Grelicha ve Tehdit Araştırma Başkanı Tara Gould tarafından yönetildi ve hackread.com ile paylaştı
Bu tür bir saldırı, saldırganlar için kripto para birimini çıkarmak için bir cihazın işleme gücünün kullanıldığı, daha büyük elektrik faturalarına ve kurban için daha yavaş performansa yol açan kriptaj denir.
Darktrace’in blog yayınına göre, Temmuz 2025’te, özellikle 22 Temmuz’da, güvenlik ekibi, perakende ve e-ticaret endüstrisindeki bir müşterinin ağında kriptolama olayını tespit etti ve durdurdu.
İlk tehdit işaretlendi çünkü cihaz, ağda beklenmedik bir şey olduğuna dair oldukça sıra dışı bir gösterge olan yeni bir PowerShell kullanıcı aracısı kullanıyordu. Saldırı benzersizdi ve NBMiner olarak bilinen kötü amaçlı yazılımı sunmak için belirli bir aracı, “gizlenmiş bir otoit yükleyici” kullanıldı.
Kötü amaçlı yazılımın içinde
Daha fazla problama, saldırganların NBMiner kötü amaçlı yazılımlarını doğrudan bilgisayarın belleğine indirmek ve çalıştırmak için karmaşık komut dosyaları kullandığını ortaya koydu. Bu ilk komut dosyası, okumayı ve analiz etmeyi zorlaştırmak için birden fazla kod katmanı ile gizlendi.
Kötü amaçlı yazılım daha sonra kendisini zararsız, güvenilir bir Windows sürecine, özellikle karakter haritası uygulamasına enjekte etti (charmap.exe). Tespitten kaçınmak için program, görev yöneticisi gibi programların açık olup olmadığını kontrol etmek ve Windows Defender’ın yüklü tek güvenlik yazılımı olup olmadığını doğrulamak da dahil olmak üzere çeşitli kaçaklama önlemleriyle tasarlanmıştır.
Aktif olduktan sonra Cryptominer, operasyonlarına başlamak için gulf.moneroocean.stream adlı bir kriptomin havuzuna bağlanmaya çalıştı. Bunu yaparak, ayrıcalıklarını sessizce tırmandırabilir ve gizli kalabilir. Bu yöntem, güvenlik sistemlerinin aramak için eğitildiği olağan kırmızı bayraklardan kaçındığı için fark etmeyi önemli ölçüde zorlaştırır.
Bilgileriniz için, Windows karakter haritası, kullanıcıların standart bir klavyede bulunmayan özel karakterleri, sembolleri ve yabancı dil karakterlerini görüntülemesine ve eklemesine olanak tanıyan yerleşik bir Windows uygulamasıdır.
İleri savunmanın önemi
Ne yazık ki, kriptajlama büyük bir tehdit olmaya devam ediyor, çünkü aynı anda birçok cihazı enfekte etmek için ölçeklendirilebilir. Bazıları bu saldırıları küçük bir sorun olarak değerlendirebilirken, aslında veri gizliliği sorunlarına ve bilgi işlem gücünün kötüye kullanılmasından önemli enerji maliyetlerine yol açabilirler.
Bu özel durumda, DarkTrace’in otomatik yanıt sistemi, enfekte cihazın saldırganın sunucularına bağlanmasını önleyerek saldırıyı en erken aşamalarında durdurarak tehdidi hızlı bir şekilde içerebildi. Bu, tehditleri aktif olarak engellemek için basit algılamanın ötesine geçen gelişmiş güvenlik önlemlerine sahip olmanın önemini vurgulamaktadır.
Arizona merkezli Kapsamlı Sertifika Yaşam Döngüsü Yönetimi (CLM) sağlayıcısı Scottsdale, Sectigo’da kıdemli üyesi Jason Soroko, kuruluşların “modern kriptajı zararsız bir sıkıntı değil, bir saldırı sinyali olarak ele alması gerektiği” konusunda ısrar etti.
Bu saldırıların, kimlik bilgilerini hasat etmeyi ve ağı keşfetmeyi amaçlayan daha geniş bir kampanya için kapak olarak hizmet edebileceğine dikkat çekiyor. Soroko’ya göre, bir tehdidi tespit etmek için gereken süre, komut dosyalarının, süreçlerin ve ağ bağlantılarının nasıl davrandığına dair görünürlükten kaynaklanır, sadece bilinen konuların bir listesi ile değil.