Hackerlar, Scarlett Johansson’ın fotoğrafına Monero crypto miner gizledi

Hackerlar, Scarlett Johansson’ın fotoğrafına Monero crypto miner gizledi
Mart 19 10:56 2018 Yazıyı Yazdır

Güvenlik araştırmacıları, popüler bir ünlünün yüzünü içeren yeni ama sıradışı bir şekilde dağıtılmış bir Monero cryptominer dolandırıcılık kampanyası tespit ettiler.

Imperva‘daki BT güvenlik araştırmacıları, korsanların PostgreSQL sunucularını kripto para birimi madenciliği için kötü amaçlı yazılım yüklemek amacı ile başlattıkları bir kampanya keşfettiler.

Kötü amaçlı yazılım, ünlü Hollywood yıldızı Scarlett Johansson‘ın fotoğrafında gizli. Kripto madencisi Monero kripto paralarını hedefliyor.

PostgreSQL, araştırmacıların MySQL’den daha karmaşık olduğunu düşündüğü, yaygın olarak kullanılan bir açık kaynak veritabanıdır. Kötü amaçlı yazılım, Imperva’nın StickyDB honeypot projesinin bir parçası olan bir honeypot’da keşfedildi.

Bir honeypot’un temelde bir bilgisayar olduğuna dikkat etmek gerekir, ancak bu durumda, korsanları cezbetmek için kasıtlı olarak yapılandırılan bir veritabanı sunucusudur. Korsanların, kolayca kullanılabilecek bir veri tabanı olarak gördükleri gibi bir yem gibidir, ancak aslında bir konteynerdir.

Imperva araştırmacıları veritabanını ortak veritabanı saldırılarını, bilgisayar korsanları tarafından kullanılan araçları ve yöntemleri, veritabanına eriştikten sonra nasıl eriştiklerini ve ne yaptıklarını öğrenmek için kullandılar. Olağandışı bir olayı ile karşılaştıklarında standart bilgi toplama adımlarını takip ediyorlardı.

Saldırganlar, yasal bir dosya barındırma web sitesinden bir görüntü indirmişti. Dosya Scarlett Johansson’un bir fotoğrafıydı. Daha fazla araştırıldığında, dosyanın gizli bir yük içerdiğini öğrendiler.

Araştırmacı veritabanını kasıtlı olarak ortaya çıkardı. İnternetten kolayca erişilebilen yaklaşık 710.000 PostgreSQL sunucusu olduğu düşünüldüğünde, bu çok güvenilir bir uygulama değildir ve saldırıların kaba kuvvet saldırıları başlatmasına izin verebilir.

Ayrıca, Imperva araştırmacıları, saldırganların sunucuda Shell komutlarını yürütmek amacıyla PostgreSQL ile etkileşimi başlatmak için gelişmiş veya değiştirilmiş bir Metasploit modülü kullandıklarını gözlemlemişlerdir.

Araştırmacılar, saldırganın sistem komutlarını yürütme yeteneğini kazandığında, belirli bir cihazda kripto para birimini planlamak için sunucunun CPU‘sunu ve GPU‘sunu belirlemek üzere belirli bir keşif gerçekleştirildiğini belirtti. Linux dd komutu, ikili kodu çıkarmak, kurmak ve yürütmek için kullanılır ve hepsi SQL işlemleri ile yapılır.

Son olarak, cihaz üzerinde bir Monero madenciliği programı yüklü. Hackerların cüzdan adresi, şu ana kadar 312 Monero kripto parası yaklaşık 90.000 dolar değerinde toplandığını gösteriyor. Bu, saldırganların birden fazla sunucuyu ele geçirdiği anlamına gelir.

Ancak saldırganlar, kötü amaçlı yazılımı gömmek için ünlülerin resmini neden kullandı? Araştırmacılar, bu güvenlik ürünlerini aldatmak için yapıldığı için, gerçek görüntü dosyalarına ya da belgelere ikili kod eklenmesi tekniğinin dosyayı değiştirebildiğinden ve anti-virüs yazılımının çoğunu atlatabildiğinden eminler.

Resim dosyası, VirusTotal hizmetinde tarandığında, yalnızca üç anti-virüs programı dosyayı zararlı olarak algıladı. Gömülü kripto madenciliği programı tek tek tarandığında, 18 anti-virüs programı bunu tespit etti.

daha fazla yazı

Yazar Hakkında

Furkan Sayım
Furkan Sayım

Siber Güvenlik Araştırmacısı olmaya çalışan bir Developer

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.