Kripto para madencilerine büyük tuzak

Kaspersky Global Araştırma ve Analiz Ekibi (GReAT)
araştırmacıları, tehdit aktörlerinin YouTube içerik
oluşturucularına kötü amaçlı yazılım dağıtmaları için şantaj
yaptığı sofistike bir kötü amaçlı kampanyayı ortaya çıkardı.
Saldırganlar içerik oluşturuculara karşı iki sahte telif hakkı
şikayetinde bulunuyor. Ardından YouTube kanallarını silecek üçüncü
bir saldırı tehdidinde bulunuyor. İçerik oluşturucular bundan
kaçınmak için farkında olmadan kötü niyetli bağlantıları tanıtıyor
ve bunların kanallarını kurtarmak için gerekli olduğuna
inanıyor.

Kaspersky telemetrisi, aracı indirdikten sonra kötü amaçlı
yazılımın bulaştığı 2 binden fazla son kullanıcının varlığını
doğruladı. Ancak etkilenen kullanıcıların gerçek sayısı muhtemelen
çok daha yüksek. Güvenliği ihlal edilen ve 60 bin abonesi olan bir
YouTube kanalı, 400 binden fazla görüntüleme alan zararlı
bağlantılar içeren birkaç video yayınladı. Sahte bir web sitesinde
barındırılan virüslü arşiv 40 binden fazla indirme kaydetti.

SilentCryptoMiner olarak adlandırılan zararlı yazılım, internet
kısıtlamalarını aşma araçlarına yönelik artan talepten
yararlanıyor. Kaspersky’nin telemetrisi, bypass araçlarında yaygın
olarak kullanılan bir teknoloji olan yasal Windows Paket
Yönlendirme sürücülerinin kullanımında önemli bir artış olduğunu
gösteriyor. Ağustos ayında yaklaşık 280 bin olan tespit sayısı Ocak
ayında 500 bine yükseldi ve altı ayda toplam 2,4 milyondan fazla
tespit yapıldı. Saldırganlar, orijinal olarak GitHub’da yayınlanan
meşru bir Deep Packet Inspection (DPI) atlatma yardımcı programını
değiştirerek özellikle bu atlatma araçlarını arayan kullanıcıları
hedef aldı. Kötü niyetli sürümler şüphe çekmemek için orijinal
işlevselliği koruyor. Ancak kullanıcıların bilgisi veya izni
olmadan kripto para madenciliği yapmak için bilgi işlem
kaynaklarını toplayan, cihaz performansını önemli ölçüde düşüren ve
elektrik maliyetlerini artıran SilentCryptoMiner’ı gizlice
yüklüyor.

Kaspersky GReAT Baş Güvenlik Araştırmacısı Leonid
Bezvershenko, şunları söylüyor: “Bu kampanya,
zararlı yazılım dağıtım taktiklerinde endişe verici bir evrim
olduğunu gösteriyor. Başlangıçta Rusça konuşan kullanıcıları
hedefleyen bu yaklaşım, internetin küresel olarak parçalanması
arttıkça diğer bölgelere de kolayca yayılabilir. Bu plan, güvenilir
içerik oluşturucuları farkında olmadan suç ortağı olarak etkili bir
şekilde kullanıyor. Bu da kullanıcıların çevrimiçi kısıtlamaları
aşmak için araçlar aradığı her pazarda işe yarıyor.”

Güvenlik çözümleri zararlı bileşenleri tespit edip
kaldırdığında, değiştirilmiş yükleyici
kullanıcıları “Dosya bulunamadı, tüm antivirüsleri kapatın
ve dosyayı yeniden indirin” gibi mesajlarla antivirüs
korumalarını devre dışı bırakmaya teşvik ediyor. Bu da sistem
güvenliğini daha da tehlikeye atıyor.

Kaspersky GReAT, bu konuda belirli dosya karmalarının yanı sıra
swapme[.]fun ve canvas[.]pet gibi alan adlarına bağlantılar da
dahil olmak üzere çeşitli tehlike göstergeleri tespit etti.
Saldırganlar, öncekiler engellendiğinde hızla yeni dağıtım
kanalları oluşturarak kalıcılık gösteriyor.

Tehdidin ayrıntılı teknik analizi
için Securelist.com adresini ziyaret edebilirsiniz.

Kaspersky, bu tür tehditlerin kurbanı olmamak için şunları
öneriyor:

• Kurulum dosyaları tarafından istense bile güvenlik çözümünüzü
  asla devre dışı bırakmayın. Çünkü bu kötü amaçlı yazılım dağıtımını
  kolaylaştırmak için yaygın bir taktiktir.
• Madenci faaliyetine işaret edebilecek aşırı ısınma, pilin
  bitmesi veya performans düşüşü gibi olağandışı cihaz davranışlarına
  dikkat edin.
• Faaliyetlerini gizlemeye çalışsa bile kripto madenciliği yapan
  kötü amaçlı yazılımları tespit edebilen Kaspersky Premium gibi
  güvenilir bir güvenlik çözümü kullanın.
• İşletim sisteminizi ve tüm yazılımları düzenli olarak
  güncelleyin. Birçok güvenlik sorunu, yazılımların güncellenmiş
  sürümleri yüklenerek çözülebilir.
• Yeni uygulamaları yüklemeden önce bağımsız incelemeleri kontrol
  ederek ve geçmişlerini araştırarak geliştiricilerin itibarını
  doğrulayın.