CryptoSink
Kötü amaçlı yazılım araştırmacıları 2019'da CryptoSink adında yasadışı bir kripto para madenciliği kampanyası ortaya çıkardılar. Saldırganlar, hedeflenen sistemlerin güvenliğini aşmak için bilinen bir güvenlik açığından yararlanıyor gibi görünüyor. CryptoSink işleminde kullanılan istismar 'CVE-2014-3120' olarak adlandırılır ve Elasticsearch uygulamasının eski bir sürümüyle ilgilidir. Söz konusu program Windows ve Linux sistemleri ile uyumludur. Bu nedenle, CryptoSink kampanyasının operatörleri tehditlerini her iki işletim sistemiyle de uyumlu hale getirdi.
Kalıcılık Kazanma
Hedeflenen sistemi tehlikeye atmak için, CryptoSink tehdidi rezil XMRig kripto para madencisinin değiştirilmiş bir varyantını enjekte edecektir. Tehdidin bir Windows veya Linux sistemine dağıtıldığına bağlı olarak, ana bilgisayarda farklı bir şekilde kalıcılık kazanacaktır. Bir Windows bilgisayarında kalıcılık kazanmak için, CryptoSink tehdidi birkaç temel numara kullanır. Bununla birlikte, CryptoSink tehdidi bir Linux sistemini tehlikeye attığında, kalıcılık kazanmak için çok daha karmaşık teknikler kullanması gerekecektir. CryptoSink kötü amaçlı yazılımı bir Linux sistemine bulaşmayı başarır yönetmez, saldırganların makineye arka kapıdan erişmesine yardımcı olacak birkaç bozuk yük getirecektir. CryptoSink tehdidinin de 'rm' komutunu değiştirdiği bildirildi, bu da özellikle bu komut her kullanıldığında, CryptoSink kötü amaçlı yazılımının yürütüleceği anlamına geliyor. Bu şekilde, kullanıcı 'rm' komutunu kullandıkları anda CryptoSink kötü amaçlı yazılım etkinliğine bağlı dosyaları kaldırsa bile tehdit yeniden konuşlandırılacaktır.
Rakipleri Kaldırma
Madenci, Monero kripto para birimi için madencilik yapmak üzere tasarlandı. CryptoSink tehdidi, virüs bulaşmış bilgisayarda başka bir kripto para madencisi olup olmadığını da tespit edebilir. Tespit edilen rakip madenciler varsa, CryptoSink tehdidi faaliyetlerini durdurmaya çalışır. Ancak, CryptoSink kötü amaçlı yazılımı, sistemi tehlikeye atabilecek diğer madencileri kaldırmaz; sistem önceden yapılandırılmış bir maden havuzu listesine bağlanmaya çalışırsa, trafiğin derhal '127.1.1.1'e yönlendirileceğini garanti eder. Bu, rakip madencilerin önceden belirlenmiş maden havuzlarına bağlanmasını önler.
CryptoSink işlemi çok ileri düzeydedir ve madencinin güvenliği ihlal edilmiş bir ana bilgisayardan kaldırılması oldukça zor olabilir. CryptoSink tehdidinin kaldırılmasında size yardımcı olacak orijinal bir kötü amaçlı yazılımdan koruma çözümünün kurulu olduğundan emin olun.
