Darktrace, Windows Sistemlerini Hedef Alan Yeni Bir Kripto Madenciliği Kampanyası Keşfetti

Siber güvenlik firması Darktrace, Windows sistemlerini hedefleyen yeni bir kripto madenciliği kampanyası tespit etti. Bu kampanya, Windows Defender'ı atlatmak ve kripto para madenciliği yazılımı dağıtmak için tasarlanmıştır.

Temmuz ayının sonlarında tespit edilen kampanya, bir bilgisayarın işlem gücünü gizlice ele geçirerek kripto para madenciliği yapmak için çok aşamalı bir enfeksiyon zinciri içeriyor. Darktrace araştırmacıları Keanna Grelicha ve Tara Gould'a göre, kampanya özellikle PowerShell'i kullanarak Windows tabanlı sistemleri hedef alıyor. Kötü niyetli aktörler, PowerShell aracılığıyla kötü amaçlı komut dosyalarını çalıştırabilir ve ana sisteme ayrıcalıklı erişim sağlayabilirler.

Bu kötü amaçlı komut dosyaları, doğrudan sistem belleğinde (RAM) çalışacak şekilde tasarlanmıştır. Bu nedenle, genellikle bir sistemin sabit disklerindeki dosyaları taramaya dayanan geleneksel antivirüs araçları, kötü amaçlı süreci tespit edemiyor. Saldırganlar daha sonra, IT uzmanları tarafından genellikle görevleri otomatikleştirmek için kullanılan bir Windows aracı olan AutoIt programlama dilini kullanıyor. Bu sayede, meşru bir Windows işlemine kötü amaçlı bir yükleyici enjekte edilerek, sistemde belirgin izler bırakmadan bir kripto para madenciliği programı indiriliyor ve çalıştırılıyor.

Yükleyici, bir dizi ortam kontrolü gerçekleştirerek ek bir savunma hattı oluşturuyor. Bu kontroller arasında, bir korumalı alan ortamı belirtileri için tarama yapmak ve yüklü antivirüs ürünleri için ana bilgisayarı incelemek yer alıyor. Yürütme, yalnızca Windows Defender'ın tek aktif koruma olması durumunda devam ediyor. Ayrıca, enfekte olmuş kullanıcı hesabının yönetici ayrıcalıklarına sahip olmaması durumunda, program yükseltilmiş erişim elde etmek için bir Kullanıcı Hesabı Kontrolü atlatma girişiminde bulunuyor. Bu koşullar sağlandığında, program bilgisayarın grafik işleme birimini kullanarak Ravencoin (RVN) ve Monero (XMR) gibi kripto para birimleri madenciliği yapmak için kullanılan, bilinen bir kripto madenciliği aracı olan NBMiner'ı indiriyor ve çalıştırıyor.

Darktrace, saldırıyı, cihazın giden bağlantılar yapmasını engelleyerek ve şüpheli uç noktalara belirli bağlantıları engelleyerek Otonom Yanıt sistemiyle engelleyebildi. Araştırmacılar, kripto para biriminin popülaritesi artmaya devam ettikçe, tehdit aktörlerinin kripto madenciliğini karlı bir girişim olarak görmeye devam edeceğini belirtiyor.

Sonuç: Kripto madenciliğinin artan popülaritesi, siber güvenlik tehditlerinin de artmasına yol açıyor. Kullanıcıların, sistemlerini korumak için güncel güvenlik yazılımları kullanmaları ve şüpheli bağlantılardan kaçınmaları önem taşıyor.