Araştırmacılar, Taylor Swift'in JPEG görüntüleri gibi görünen bir zararsız içeriğin arkasına gizlenen kripto madencilik botnet'i keşfettiklerini duyurdular.

SophosLabs'tan Gabor Szappanos tarafından 18 Aralık tarihinde yapılan açıklamaya göre, DarkCloud veya Smominru olarak da bilinen MyKings botnet’i 2016’dan beri aktif.

Sophos’un tabirine göre, “ağaçtan sarkan meyve” misali kurbanlarını bekleyen virüs, MyKings'in arkasındaki kişiler tarafında yeniden aktif edildi. Sistemlerine virüs bulaşmış kişiler farkında olmadan Monero mandeciliği yapıyorlar.

3 Milyon dolarlık Monero, yasa dışı biçimde MyKings tarafından çıkarıldı

SophosLabs tarafında paylaşılan raporda, genellikle Windows tabanlı sistemlerin tercih edildiği ifade edildi. MqSQL ve MS-SQL gibi veri tabanı yönetim sistemlerini içinde barındıran sistemlerin, Telnet gibi ağ protokolleri kullanan ve hatta CCTV kamera görüntüsü arşivi oluşturan Windows tabanlı cihazların saldırıya uğradığı bildirildi.

Raporda, botnet’i geliştiren ekibin açık kaynaklı kod geliştirme konusunda deneyimli olduğu ifade edildi. Saldırganlar, otomatik güncelleme yapacak biçimde yazılımların ek yapabiliyorlar.

Botnet, genellikle "Forshare" olarak adlandırılan kötü amaçlı bir yazılımı bulaştırmak amacıyla sunuculara düzenli aralıklarla saldırı düzenliyor.

Forshare, saldırıya maruz kalan bilgisayarda Monero (XMR) kripto para madenciliği yapan bir yazılım. 
SophosLabs tarafında yapılan tahmine göre, botnet operatörleri bugüne kadar Monero üzerinden yaklaşık 3 milyon dolar kazandı. Kripto para biriminin son zamanlarda fiyat düşüşü hesaba katılırsa, yaklaşık olarak günlük 300 dolarlık bir gelir demek.

Hiç de göründüğü gibi değil

Kaynak: SophosLabs

Yayımlanan araştırma raporunda, pop yıldızı Taylor Swift'in görseli şeklinde hazırlanmış “.jpg” uzantılı bir dosya örneği gösterildi. Fotoğrafın bilgisayara indirilmesi halinde, içinde yer alan virüs otomatik olarak çalışmaya başlıyor.

SophosLab’ın araştırması, çoklu komut kombinasyonları kullanılarak yazılımın kendi kendini güncellediğini ortaya koydu. MyKings'in kalıcı mekanizmasının karmaşık bir yapıya sahip olduğu vurgusu yapıldı. 

“Botnet bileşenlerinin çoğu bilgisayardan ilinse bile, geriye kalanlar kendilerini güncelleyerek yeniden tam hale gelecek güce sahipler. Bu dosyalar, kendiliğinden açılan RAR arşivleri ve Windows toplu iş dosyaları üzerinden çalışıyors.”

Raporda, en fazla virüs bulaşmış bilgisayarın bulunduğu ülkeler Çin, Tayvan, Rusya, Brezilya, Amerika Birleşik Devletleri, Hindistan ve Japonya olarak açıklandı.

Güncel Monero vakaları

Kasım ayında Cointelegraph, Monero’nun resmi web sitesi getmonero.org’dan indirilebilecek olan yazılım nedeniyle kripto para hırsızlığı yaşanabileceğini bildirmişti.

Aynı ay Slovak yazılım güvenlik firması Eset, Stantinko olarak bilinen bir botnet çalıştıran siber suçluların, Youtube üzerinden bir Monero kripto para birimi madenciliği modülü yaydığını açıkladı.