Yeni kötü amaçlı yazılımlardan yararlanıyor Windows Karakter Haritası Kaçınma ve Mayın Kripto

   Eylül 5, 2025  Posted in GBHackers


Windows Defender’dan kaçmak ve uzlaşmış makinelerde gizlice kripto para biriminden kaçınmak için Windows’un yerel karakter haritası yardımcı programını (“charMap.exe”) ele geçiren gelişmiş bir kriptaj kampanyası.

İlk olarak Ağustos 2025’in sonlarında tespit edilen bu saldırı, geleneksel bir kriptom yükü yükünü doğrudan belleğe yüklemek, geleneksel antivirüs imzalarını engellemek ve adli artefaktları kısıtlamak için meşru sistem ikili kullanıyor.

Güvenlik araştırmacıları, bir bilgisayarın işleme gücünün, sahibinin rızası olmadan kripto para birimlerini çıkarmak için yetkisiz kullanımını içeren bir kriptajı ortaya çıkardılar.

Saldırganlar, CPU veya GPU döngülerini tüketen kötü amaçlı yazılımları veya komut dosyalarını kullanır, enerji maliyetlerini artırır ve kurbanlar için sistem performansını azaltırken, operatörler için yasadışı karlar üretir.

Saldırganların doğrudan ödeme talep ettiği fidye yazılımlarının aksine, kaynakları uzun süre sessizce sifonlar, algılamayı zorlaştırır ve iyileştirmeyi daha yavaş hale getirir.

Darktrace, perakende ve e-ticaret endüstrisinde bir müşterinin ağında kriptaj deneme olayı tespit etti ve içeriyordu.

DarkTrace'in yeni PowerShell kullanıcı aracısıyla HTTP bağlantısı oluşturan bir cihaz algılaması.
DarkTrace’in yeni PowerShell kullanıcı aracısıyla HTTP bağlantısı oluşturan bir cihaz algılaması.

Yeni keşfedilen gerinim, PDF eki olarak gizlenmiş kötü amaçlı bir kısayol dosyası içeren bir mızrak -akıcı e -postayla başlar.

Yürütüldüğünde kısayol, Windows PowerShell konsolunu uzak bir sunucuda barındırılan gizlenmiş bir damlalık getirmeye çağırır. Bu damlalık kullanıcının AppData klasörüne iki yük bileşeni yazar:

  1. Otomatik yükleyici: Cryptominer’ı kod çözen ve enjekte eden küçük bir yürütülebilir ürün, charmap.exeWindows’un yerleşik karakter haritası aracı.
  2. Madencilik ikili: TCP bağlantı noktası 3838 üzerinden bir uzak madencilik havuzuna bağlanacak şekilde yapılandırılmış 64 bit özel bir kriptominer.

Kaldırarak charmap.exekötü amaçlı yazılım, diskte bilinmeyen bir işlemin başlatılmasını önler ve Windows Defender davranış tabanlı algılama kurallarını etkili bir şekilde kaydırır.

IP adresi ve hedef bağlantı noktası kombinasyonu (152.53.121[.]6: 10001) ayrıca birkaç OSINT güvenlik satıcısı tarafından kriptominasyon etkinliğine bağlanmıştır.

Darktrace'ın Monero madenciliği ile ilişkili uç nokta ile bağlantılar kuran bir cihazı algılaması.
Darktrace’ın Monero madenciliği ile ilişkili uç nokta ile bağlantılar kuran bir cihazı algılaması.

Enjeksiyon tamamlandıktan sonra, meşru karakter haritası işlemi normal kullanıcı arayüzü işlevini sürdürerek madenciyi çalıştıran kötü niyetli iş parçacığını maskeliyor.

Kaçınma ve sebat

Darktrace’in siber AI analisti, devam eden faaliyet hakkında özerk bir soruşturma başlattı ve PowerShell komut dosyasını içeren ilk bağlantıları, kriptominasyon uç noktasına nihai bağlantılara kapsayarak saldırının bireysel olaylarını birbirine bağlayabildi.

Siber AI analisti, bu görünüşte ayrı olayları tek başına izlemek yerine, saldırı üzerinde kapsamlı görünürlük sağlayarak daha büyük resmi görebildi.

Darktrace'in Siber Ölüm Zincirine karşı eşlenen kriptaj saldırısının kapsamını gösteren siber AI analisti görünümü.
Darktrace’in Siber Ölüm Zincirine karşı eşlenen kriptaj saldırısının kapsamını gösteren siber AI analisti görünümü.

Kalıcılığı korumak için kampanya, kullanıcı oturum açısında yükleyiciyi yeniden başlatan “WindowsCharmapupdater” adlı planlanmış bir görev oluşturur.

Ayrıca yerel uygulama veri dizinine bir DLL bırakır ve meşru olanı altüst eder werfault.exe DLL yan yükleme yoluyla işleme, madencinin sistem yeniden başlatıldıktan veya işlem sonlandırmasından sonra bile otomatik olarak yeniden başlatılmasını sağlayın.

Mağdurlar, sağlık ve eğitim sektörlerinde bildirilen en yüksek enfeksiyon oranları ile küçük işletmelerden kurumsal ortamlara kadar uzanmaktadır.

Enfekte edilmiş makineler, yavaşlamalara, aşırı ısınmaya ve yüksek güç tüketimine yol açan yüksek CPU ve GPU kullanımı – genellikle yüzde 80’ini aşan – sergiler.

Kripto para birimi değerlemeleri yüksek kaldıkça, saldırganlar kriptajı düşük riskli, yüksek ödüllü bir çaba olarak görüyorlar. Karakter haritası gibi güvenilir Windows yardımcı programlarını yıkarak, aylarca madencilik operasyonlarını gizlice koruyabilirler.

Büyük kuruluşlar için, enerji maliyeti artışı, bozulmuş iş istasyonu performansının neden olduğu operasyonel aksamaların yanı sıra ayda binlerce dolar olabilir.

Hafifletme

Geleneksel imza tabanlı antivirüs araçları, anomali temelli savunmalara duyulan ihtiyacı vurgulayarak evlatsız enjeksiyon tekniklerini tespit etmek için mücadele ediyor.

130’dan fazla bağlantı denemesinde, Darktrace’in SOC’sinin hepsinin iptal edildiğini doğruladı, yani hiçbir bağlantı başarılı bir şekilde kurulmadı.

Darktrace'in otonom yanıt yeteneği tarafından başarıyla önlenen tüm denenen bağlantıları gösteren gelişmiş arama günlükleri.
Darktrace’in otonom yanıt yeteneği tarafından başarıyla önlenen tüm denenen bağlantıları gösteren gelişmiş arama günlükleri.

Güvenlik ekiplerinin olağandışı Powershell komuta hattı argümanlarını, karakter haritasını içeren nadir ebeveyn-çocuk süreç ilişkilerini ve bilinen madencilik havuzu alanlarına giden bağlantıları izlemeleri önerilir.

Kritik sistem ikili dosyaları için uygulamaya izin vermenin uygulanması ve PowerShell komut dosyaları için katı yürütme politikalarının uygulanması benzer saldırıları engellemeye yardımcı olabilir.

Kuruluşlar, normal sistem davranışından ince sapmaları tanımlamak için algılama yeteneklerini sürekli olarak güncellemelidir.

Kapsamlı uç nokta izleme ve tehdit-zeka paylaşımı ile birleştiğinde, bu önlemler güvenlik ekiplerinin gelişen kriptaj tehditlerinin önünde kalmasına ve yetkisiz madencilik faaliyetine karşı kritik altyapıyı korumaya yardımcı olabilir.

Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.



Source link