Thesaurus Sözlüğünde Cryptojacking Kampanyası Keşfedildi

Group-IB, Siber Güvenlik Araştırmacıları, beş milyonun üzerinde aylık ziyaretçisi olan popüler bir çevrimiçi eş anlamlılar sözlüğü içinde gizlenen gizli bir kripto madencilik kampanyasını açığa çıkardı. Bu kampanya, ziyaretçilerin bilgisayarlarına gizlice kötü amaçlı yazılım yüklemek için bir komut dosyası yerleştiren ve daha fazla kötü niyetli faaliyet kapısını açan kurnaz bir taktik kullandı.

Group-IB’nin uzmanları, sürekli tehdit izleme, proaktif tehdit avcılığı ve gerçek zamanlı saldırı önleme için tasarlanmış bir çözüm olan Yönetilen Genişletilmiş Algılama ve Yanıt (MXDR) kullanarak bu siber suç operasyonunun arkasındaki hikayeyi çözdü.

İzleme sırasında, Group-IB’nin güvenlik uzmanları MXDR sistem tarafından işaretlenen sayısız kötü amaçlı arşiv tespit etti. Bu, birçok müşteri şirketin altyapısında olağandışı sayıda kötü amaçlı örnek gözlemlediklerini fark ettiklerinde bir alarm tetikledi.

Bu arşivler, “chromium-patch-nightly.00.{3}.{3}.zip” modelinde adlandırılan ve her biri benzersiz bir kimlik taşıyan, MXDR müşterilerinin bu kötü amaçlı arşivleri ortak bir kaynaktan aldıklarını gösterdi; bu, saldırganların sıradışı bir yaklaşım benimsemiş olabileceğini öne sürdü.

Bu kötü amaçlı arşivleri inceledikten sonra, Group-IB, bunların bir kurulum dosyası içerdiğini ve XMRig Coinminer’ı yüklemekten sorumlu bir uygulama dosyası olarak çalıştığını tespit etti – bu, Monero için özel olarak tasarlanmış bir kripto madencilik aracıdır. Monero’nun işlem ayrıntılarını gizleyen doğasından dolayı, tehdit aktörlerinin gizli kalmasına olanak tanır.

Bu enfekte arşivlerin kaynağını izlemek için Group-IB, Endpoint Algılama ve Yanıt (EDR) modülünden gelen verilere başvurdu. Kötü amaçlı nesnelerin ana makinalardaki keşfi ile ilgili olayları inceledikten sonra, arşivlerin genellikle kullanıcı internet oturumları sırasında varsayılan olarak kullanılan “İndirmeler” klasörüne indirildiği anlaşıldı. Güvenlik uzmanları tarayıcı geçmişini incelediler ve bu kötü amaçlı örneklerin bir çevrimiçi sözlükten indirildiğini ortaya çıkardı.

Group-IB’nin analistleri, ziyaretçilerin sözlük web sitesine eriştiğinde, sahte bir sayfa tarafından kötü amaçlı bir arşivin otomatik olarak indirildiği bir aldatmaca sayfasının tetiklendiğini ortaya koydu. Özellikle, bu eylemden sorumlu olan komut dosyası, eşanlamlar için ayrılmış olan web sitesinin bölümüne enjekte edilmemişti. Arşiv kendisi başka bir web sitesinden olan chrome-errorco’dan indirilmişti.

Daha fazla soruşturma, kurulum dosyasının kullanıcıların makinelerine indirilmiş olmasına rağmen, herhangi bir anında tehdit oluşturmadığını gösterdi.

Group-IB’nin raporuna göre, müşterilerini potansiyel güvenlik olaylarından korumak için Group-IB hızla tehdit hakkında bilgilendirdi. Ayrıca, uzmanlar olayla ilgili bağlamsal bilgileri paylaştılar ve kötü amaçlı arşivin silinmesi de dahil olmak üzere önleyici tedbirler önerdiler.

Onaylanmış kötü amaçlı dosyaların varlığında, Group-IB MXDR’ın Endpoint Algılama ve Yanıt (EDR) ajanı otomatik olarak bu tür dosyaları engelleme yeteneğine sahiptir.

Group-IB MXDR’ın bilinen kötü amaçlı dosyaları engelleme yeteneğine rağmen, sistem düzenli olarak ana konsola dosyaların davranış analizi alt sistemi tarafından kötü amaçlı olarak işaretlenen dosyaların karma değerlerini paylaşarak talepler gönderir. Bu özellik, bir müşterinin kötü amaçlı bir dosya tespit etmesi durumunda, karma daha sonra diğer müşterilerin engelleme listelerine eklenir.

Analiz edilen saldırıdan sorumlu komut dosyası aşağıdaki eylemleri gerçekleştirdi:

Belirli bir sayfaya sinyal gönderdi ve yeni bir komut dosyası indirdi ve çalıştırdı. Kullanıcılara indirilen bir güncelleştirmeyi yüklemeleri talimatını veren sahte bir Chrome hata sayfası gösterdi. Sonuç olarak, bu keşif, güvendiğiniz ve sıkça ziyaret edilen web sitelerinde bile dikkatli olma ihtiyacının ne kadar kritik olduğunu vurgular.

Bu kampanyanın arkasındaki siber suçluların, sürücüden indirmeler ve yanıltıcı hata sayfaları aracılığıyla sosyal mühendislik gibi iyi bilinen taktikler kullandığına dikkat çekerek, güçlü bir siber güvenlik önemi vurgulanmaktadır.

Group-IB’nin analizi, tehdit aktörlerinin nispeten sofistike olmayan yaklaşımlarının altında yatmaması gerektiğini daha da gösterdi. Yükleyici bir hedef şirketin altyapısına sızdığında, kripto madencilik ötesinde daha fazla zararlı saldırılar için güçlü bir vektör olarak hizmet edebilir, bu da ciddi kesintilere ve önemli hasarlara yol açabilir.