Siber güvenlik araştırmacıları, “Lemon Duck” isimli bir kripto madencilik botnet'indeki etkinlik seviyesinin ağustos sonundan bu yana arttığını tespit etti.

Botnet, Aralık 2018'den beri yayılıyor. Bununla birlikte son altı hafta boyunca etkinlikteki büyük sıçrayış, kötü amaçlı yazılımın, kripto para birimi Monero'yu üretmek için çok sayıda makineyi ele geçirdiğini gösteriyor. 

Cisco şirketine bağlı Talos Intelligence Group tarafından gerçekleştirilen araştırma, Lemon Duck bulaşmış bilgisayarların son kullanıcılar tarafından algılanmasının zor olduğunu öne sürüyor. Ancak ağ yöneticileri gibi yetkilileri algılaması muhtemel. 

Kötü amaçlı kripto madencilik yazılımları, madencilik işlemine devam ederken CPU veya GPU'yu devamlı çalıştırarak kaynakları filtrelediği için donanımda fiziksel hasara sebep olabilir. Bu, güç tüketimi ve ısı üretiminin artmasına sebep olacaktır. Hatta yangına bile yol açabilir.

Lemon Duck etkinliğinin artışı. Kaynak: blog.talosintelligence.com

Windows 10 bilgisayarlar, Microsoft sistem servisindeki zayıf noktaları kullanan kötü amaçlı yazılımlar tarafından hedef alınıyor. Kötü amaçlı yazılım barındıran dosyanın bulunduğu COVID-19 konulu bir e-posta ile yayılıyor. Kötü amaçlı yazılım, sisteme bulaştığında, kullanıcının kişiler listesinde bulunan herkese Outlook üzerinden gönderiliyor.

Sahte e-postalar, ilki readme.doc isimli bir RTF dokümanı olmak üzere içinde iki adet kötü amaçlı dosya bulunduruyor. Bu dosya, Microsoft Office yazılımındaki bir uzaktan kod çalıştırma açığını kullanıyor. Lemon Duck yükleyicisini indiren ve çalıştıran bir komut dizisi içeren ikinci dosyanın ismi ise readme.zip.

Komplike yazılım, kurulduğu zaman birkaç Windows servisini sonlandırıyor ve ağın geri kalanına gizli bağlantılar için diğer araçları indiriyor. Lemon Duck'ın Linux sistemlerine de bulaştığı biliniyor ancak ana kurbanlar Windows sahipleri.

Kötü amaçlı yazılım, tasarımı itibarıyla anonim ve gizlemesi çok kolay olduğu için Monero (XMR) üretiyor. Araştırmacılar, Haziran 2019'da Doğu Asya'yı hedef alan “Beapy” isimli başka bir kripto madencilik yazılımı ile ilişkilendirildiği halde Lemon Duck'ın arkasında kimin olduğunu detaylandırmadılar.

Geçen ay, Coinbase cüzdan kullanıcıları, Google Authenticator kodlarını çalmak için tasarlanmış yeni kötü amaçlı Android yazılımı tarafından hedeflenmişlerdi.