Kaspersky, şantaj yapan siber saldırı tespit etti
Kaspersky uzmanları, kripto para madenciliğine odaklı zararlı yazılımı yaymak için YouTube içerik üreticilerine şantaj yapan siber suçluların gerçekleştirdiği saldırıları belirledi
Anadolu Ajansı
İSTANBUL (AA) - Kaspersky uzmanları, kripto para madenciliğine odaklı zararlı yazılımı yaymak için YouTube içerik üreticilerine şantaj yapan siber suçluların gerçekleştirdiği saldırıları belirledi.
Şirketten yapılan açıklamaya göre, kripto para madenciliğinde kötü amaçlı yazılımlarını dağıtmak isteyen siber suçluların hedefinde, bu kez popüler YouTube içerik üreticileri yer aldı.
Global Araştırma ve Analiz Ekibi (GReAT), kripto para madenciliği odaklı geliştirdikleri kötü amaçlı yazılımı dağıtmaları için YouTube içerik oluşturucularına şantaj yapan siber saldırı kampanyasını ortaya çıkardı.
Bu yöntemde, saldırıyı gerçekleştiren siber suçlular, içerik oluşturuculara karşı iki sahte telif hakkı şikayeti yapıyor. Ardından YouTube kanallarını silecek üçüncü bir saldırı tehdidinde bulunuyor. İçerik oluşturucular, bu durumdan kaçınmak için farkında olmadan kötü niyetli bağlantıları tanıtıyor ve bunların kanallarını kurtarmak için gerekli olduğuna inanıyor.
Kaspersky telemetrisi, bu siber saldırı kampanyasında kullanılan "SilentCryptoMiner" adındaki yazılımın, bulaştığı 2 binden fazla son kullanıcının varlığını doğruladı. Kaspersky uzmanları, etkilenen kullanıcıların gerçek sayısının, bu rakamdan çok daha yüksek olabileceğini belirtiyor.
Bu kapsamda yapılan araştırmada, güvenliği ihlal edildiği tespit edilen 60 bin aboneli bir YouTube kanalı, 400 binden fazla görüntüleme alan zararlı bağlantılar içeren birkaç video yayınladı. Sahte bir internet sitesinde barındırılan virüslü arşiv, 40 binden fazla indirildi.
Zararlı yazılım, internet kısıtlamalarını aşma araçlarına yönelik artan talepten yararlanıyor. Kaspersky'nin telemetrisi, "bypass" araçlarında yaygın olarak kullanılan teknolojilerden yasal "Windows Paket Yönlendirme" sürücülerinin kullanımında, önemli bir artış olduğunu gösteriyor. Ağustosta 280 bin civarındaki tespit sayısı, ocakta 500 bine yükseldi ve 6 ay içinde toplam 2,4 milyondan fazla tespit yapıldı.
Saldırganlar, orijinal olarak GitHub'da yayınlanan meşru bir "Deep Packet Inspection" (DPI) atlatma yardımcı programını değiştirerek, özellikle bu atlatma araçlarını arayan kullanıcıları hedef aldı.
Kötü niyetli sürümler, şüphe çekmemek için yükleme sırasında orijinal işlevselliğini koruyor. Bu sırada, kullanıcıların bilgisi veya izni olmadan, kripto para madenciliği yapmak için bilgi işlem kaynaklarını toplayan, cihaz performansını önemli ölçüde düşüren ve elektrik maliyetlerini artıran SilentCryptoMiner'ı gizlice yüklüyor.
Güvenlik çözümleri, zararlı bileşenleri tespit edip kaldırdığında, bu kez kullanıcılara "Dosya bulunamadı, tüm antivirüsleri kapatın ve dosyayı yeniden indirin." gibi mesajlar yollanıyor. Antivirüs korumalarının devre dışı bırakılması ise sistem güvenliğini daha da tehlikeye atıyor.
"Taktiklerde endişe verici bir evrim yaşanıyor"
Açıklamada görüşlerine yer verilen Kaspersky GReAT Baş Güvenlik Araştırmacısı Leonid Bezvershenko, bu kampanyanın, zararlı yazılım dağıtım taktiklerinde endişe verici bir evrim yaşandığını gösterdiğini aktardı.
Saldırıların başlangıçta Rusça konuşan kullanıcıları hedeflediğin kaydeden Bezvershenko, "Bu yayılım, internetin küresel olarak parçalanması arttıkça diğer bölgelere de kolayca yayılabilir. Bu planda, güvenilir içerik oluşturucuları farkında olmadan suç ortağı olarak etkili bir şekilde kullanılıyor. Bu da kullanıcıların çevrim içi kısıtlamaları aşmak için araçlar aradığı her pazarda işe yarıyor." değerlendirmesinde bulundu. AA
