Monero Madenciliği Kötü Amaçlı Yazılım, Google Arama'nın En Üstünde Başarıyı Buldu

Google uygulamalarını arayan kullanıcıları hedef alan sinsi bir kötü amaçlı yazılım kampanyası, gizlilik odaklı kripto monero (XMR) madenciliği yapmak için dünya çapında binlerce bilgisayara bulaştı.

Nitrokod'u muhtemelen hiç duymamışsınızdır. İsrail merkezli siber istihbarat firması Check Point Research (CPR), geçen ay kötü amaçlı yazılımla karşılaştı. 

İçinde Pazar günü raporFirma, Nitrokod'un başlangıçta kendisini ücretsiz bir yazılım olarak maskelediğini ve "Google Translate masaüstü indirme" için Google arama sonuçlarının en üstünde dikkate değer bir başarı bulduğunu söyledi.

Kripto hırsızlığı olarak da bilinen madencilik kötü amaçlı yazılımları, kriptonun popülaritesinin yanı sıra öne çıktıkları en az 2017 yılından bu yana şüphelenmeyen kullanıcıların makinelerine sızmak için kullanılıyor.

CPR daha önce aynı yılın Kasım ayında XMR madenciliği de yapan tanınmış kripto hırsızlığı kötü amaçlı yazılımı CoinHive'ı tespit etmişti. CoinHive'ın hırsızlık yaptığı söyleniyordu Son kullanıcının toplam CPU kaynaklarının %65'i onların bilgisi olmadan. Akademisyenler hesaplanmış Kötü amaçlı yazılım zirve noktasında ayda 250,000 dolar gelir elde ediyordu ve bunun büyük bir kısmı bir düzineden az kişiye gidiyordu.

Nitrokod'a gelince, CPR, bunun 2019 yılında Türkçe konuşan bir kuruluş tarafından konuşlandırıldığına inanıyor. Tipik antivirüs programları ve sistem savunmaları tarafından tespit edilmekten kaçınmak için yolunda ilerlerken yedi aşamada çalışıyor. 

Firma raporunda, "Kötü amaçlı yazılım, meşru uygulamalar için Google'ın en iyi arama sonuçlarında bulunan yazılımlardan kolaylıkla çıkarılabilir" diye yazdı.

Softpedia ve Uptodown'un sahte uygulamaların iki ana kaynağı olduğu ortaya çıktı. Blockworks, bu tür tehditleri nasıl filtrelediği hakkında daha fazla bilgi edinmek için Google'a ulaştı.

Uygulamayı indirdikten sonra yükleyici, gecikmeli bir damlalık çalıştırır ve her yeniden başlatmada kendisini sürekli olarak günceller. Beşinci günde, gecikmeli damlalık şifrelenmiş bir dosyayı çıkarır. 

Dosya daha sonra Nitrokod'un, görevlerin planlanması, günlüklerin temizlenmesi ve 15 gün geçtikten sonra antivirüs güvenlik duvarlarına istisnalar eklenmesiyle ilgili son aşamalarını başlatır.

Son olarak, kripto madenciliği kötü amaçlı yazılımı "powermanager.exe" gizlice virüslü makineye bırakılır ve açık kaynaklı Monero tabanlı CPU madencisi XMRig (CoinHive tarafından kullanılanın aynısı) kullanılarak kripto oluşturmaya başlar.

Firma raporunda, "Yazılımın ilk kurulumundan sonra, saldırganlar bulaşma sürecini haftalarca erteledi ve orijinal kurulumdaki izleri sildi" diye yazdı. "Bu, kampanyanın yıllarca radar altında başarılı bir şekilde yürütülmesine olanak sağladı."

Nitrokod bulaşmış makinelerin nasıl temizleneceğine ilişkin ayrıntıları şu adreste bulabilirsiniz: CPR'nin tehdit raporunun sonu.

Her akşam gelen kutunuza iletilen günün en iyi kripto haberlerini ve içgörülerini alın. Blockworks'ün ücretsiz bültenine abone olun Şimdi.