Tehdit analistleri, operatörlerini işlem kaçırma işleminden en az 1,7 milyon dolar getiren Clipminer adlı yeni bir kripto para madenciliği kötü amaçlı yazılımının büyük bir operasyonunu keşfettiler.
Bir Broadcom şirketi olan Symantec'ten araştırmacılara göre Clipminer, Kryptocibule kötü amaçlı yazılımlara dayanıyor. Her iki truva atı, enfekte makinelerde cüzdan çalmaya, işlemleri kaçırmaya ve kripto para madenciliğine odaklanıyor.
Yeni Trojan, operasyonunu eşleştiren güvenlik araştırmacıları tarafından, keşfi zamanında boyut olarak balonlu olan Clipminer olarak adlandırıldı.
Bu yeni operasyonu analiz ederken Symantec, çalıntı fon aldığına inanılan 4375 kripto para birimi cüzdan adreslerinin bulundu.
ClipMiner, Winrar arşivi olarak ana bilgisayar sistemine düşer ve dinamik bir bağlantı kitaplığı (.dll) indiren bir kontrol paneli (.cpl) dosyasını başlatmak için otomatik olarak çıkarır.
DLL yeni bir kayıt defteri değeri oluşturur ve kendini rastgele bir dosya adı altında "C: \ Windows \ Temp \" üzerine yerleştirir. Amacı, ana bilgisayarı profillemek ve Clipminer yükünü TOR ağından indirmek ve yüklemektir.
Sistem kimliği, TOR üzerinden bir HTTP GET isteği aracılığıyla Komut ve Kontrol Sunucusuna (C2) gönderilir ve "C: \ ProgramData \" veya "C: \ Program Dosyaları (X86) \", ", 10MB yükü alınır, veya "[UserProfile] \ AppData \ Local \".
Yürütme üzerine, kötü amaçlı yazılım kalıcılık için planlanmış görevler oluşturur ve aynı zamanda aynı ana bilgisayarın yeniden enfekte edilmesini önlemek için bir enfeksiyon belirteci olarak boş bir kayıt defteri anahtarı oluşturur.
Ardından, yük benzersiz bir adresle bir V3 soğan hizmeti başlatır ve ana makinedeki tüm klavye ve fare aktivitesini izler. Ayrıca, herhangi bir analiz aracını tanımlamak için çalışan süreçleri kontrol eder.
Ana bilgisayarda herhangi bir etkinlik olmadığında, kullanıcının uzakta olduğunu öne sürdüğünde, Clipminer mevcut tüm CPU iş parçacıklarını kullanacak şekilde yapılandırılmış bir XMRIG Monero madenci başlatır. Makine denetimsiz olduğundan, enfeksiyonu veren sistem performansı yavaşlaması riski yoktur.
Paralel olarak, kötü amaçlı yazılım, kopyalanan kripto para birimi adresleri için panoyu sürekli olarak izler ve bunları saldırgana ait diğer kişilerle değiştirerek ödemeleri yönlendirir.
Symantec, Clipminer'ın ilk örneklerinin Ocak 2021 civarında dolaşmaya başladığını ve kötü niyetli etkinliğin Şubat ayında hızını artırdığını söylüyor.
O zamandan beri, kötü amaçlı yazılım oyun ve korsan yazılım çatlakları ile dağıtıldı ve P2P ağları, torrent dizinleri veya YouTube videolarına yayıldı.
Clipminer veya diğer kötü amaçlı yazılımlarla enfekte olma şansını en aza indirmek için belirsiz kaynaklardan yazılım indirmekten kaçının.
Kendinizi herhangi bir pano korsanından korumak için, işlemi başlatmadan önce yapıştırılmış kripto para birimi cüzdan adresini kontrol edin.
Yeni kötü amaçlı yazılım, kriptominerlerle sunucusuz AWS lambda'yı hedefler
Watchdog Hacking Group yeni Docker Cryptojacking Kampanyası başlattı
Yeni kriptomingining kötü amaçlı yazılım bir Windows ordusu oluşturur, Linux Bots
Dolandırıcılar ve kötü amaçlı yazılımlar tarafından hedeflenen popüler NFT Marketplace nadirdir
Yeni güçlü Prynt Stealer Malware ayda sadece 100 $ satıyor
Kaynak: Bleeping Computer