Siber SaldırılarZararlı Yazılımlar

Hackerlar, Scarlett Johansson’ın fotoğrafına Monero crypto miner gizledi

2 dakikada okunur

Güvenlik araştırmacıları, popüler bir ünlünün yüzünü içeren yeni ama sıradışı bir şekilde dağıtılmış bir Monero cryptominer dolandırıcılık kampanyası tespit ettiler.

Imperva‘daki BT güvenlik araştırmacıları, korsanların PostgreSQL sunucularını kripto para birimi madenciliği için kötü amaçlı yazılım yüklemek amacı ile başlattıkları bir kampanya keşfettiler.

Kötü amaçlı yazılım, ünlü Hollywood yıldızı Scarlett Johansson‘ın fotoğrafında gizli. Kripto madencisi Monero kripto paralarını hedefliyor.

PostgreSQL, araştırmacıların MySQL’den daha karmaşık olduğunu düşündüğü, yaygın olarak kullanılan bir açık kaynak veritabanıdır. Kötü amaçlı yazılım, Imperva’nın StickyDB honeypot projesinin bir parçası olan bir honeypot’da keşfedildi.

Bir honeypot’un temelde bir bilgisayar olduğuna dikkat etmek gerekir, ancak bu durumda, korsanları cezbetmek için kasıtlı olarak yapılandırılan bir veritabanı sunucusudur. Korsanların, kolayca kullanılabilecek bir veri tabanı olarak gördükleri gibi bir yem gibidir, ancak aslında bir konteynerdir.

Imperva araştırmacıları veritabanını ortak veritabanı saldırılarını, bilgisayar korsanları tarafından kullanılan araçları ve yöntemleri, veritabanına eriştikten sonra nasıl eriştiklerini ve ne yaptıklarını öğrenmek için kullandılar. Olağandışı bir olayı ile karşılaştıklarında standart bilgi toplama adımlarını takip ediyorlardı.

Saldırganlar, yasal bir dosya barındırma web sitesinden bir görüntü indirmişti. Dosya Scarlett Johansson’un bir fotoğrafıydı. Daha fazla araştırıldığında, dosyanın gizli bir yük içerdiğini öğrendiler.

Araştırmacı veritabanını kasıtlı olarak ortaya çıkardı. İnternetten kolayca erişilebilen yaklaşık 710.000 PostgreSQL sunucusu olduğu düşünüldüğünde, bu çok güvenilir bir uygulama değildir ve saldırıların kaba kuvvet saldırıları başlatmasına izin verebilir.

Ayrıca, Imperva araştırmacıları, saldırganların sunucuda Shell komutlarını yürütmek amacıyla PostgreSQL ile etkileşimi başlatmak için gelişmiş veya değiştirilmiş bir Metasploit modülü kullandıklarını gözlemlemişlerdir.

Araştırmacılar, saldırganın sistem komutlarını yürütme yeteneğini kazandığında, belirli bir cihazda kripto para birimini planlamak için sunucunun CPU‘sunu ve GPU‘sunu belirlemek üzere belirli bir keşif gerçekleştirildiğini belirtti. Linux dd komutu, ikili kodu çıkarmak, kurmak ve yürütmek için kullanılır ve hepsi SQL işlemleri ile yapılır.

Son olarak, cihaz üzerinde bir Monero madenciliği programı yüklü. Hackerların cüzdan adresi, şu ana kadar 312 Monero kripto parası yaklaşık 90.000 dolar değerinde toplandığını gösteriyor. Bu, saldırganların birden fazla sunucuyu ele geçirdiği anlamına gelir.

Ancak saldırganlar, kötü amaçlı yazılımı gömmek için ünlülerin resmini neden kullandı? Araştırmacılar, bu güvenlik ürünlerini aldatmak için yapıldığı için, gerçek görüntü dosyalarına ya da belgelere ikili kod eklenmesi tekniğinin dosyayı değiştirebildiğinden ve anti-virüs yazılımının çoğunu atlatabildiğinden eminler.

Resim dosyası, VirusTotal hizmetinde tarandığında, yalnızca üç anti-virüs programı dosyayı zararlı olarak algıladı. Gömülü kripto madenciliği programı tek tek tarandığında, 18 anti-virüs programı bunu tespit etti.

yazar hakkında
Siber Güvenlik Araştırmacısı olmaya çalışan bir Developer
Bunlar ilgini çekebilir
Mobil CasuslukSiber Saldırılar

Türkiye'de Bir Ayda 50.000 Cihaz İstenmeyen Anlık Bildirimle Karşılaştı

1 dakikada okunur
Kaspersky’nin Mayıs 2020’de Türkiye’de engellediği tehditler üzerine yaptığı analizde, 50.925 kullanıcının istenmeyen anlık bildirimlere maruz kaldığı görüldü. Ülkede mayıs ayında toplam 390.268…
Mobil CasuslukSiber SaldırılarSizden GelenlerZararlı Yazılımlar

Cerberus Zararlısının USOM'u Taklit Eden C2C Sunucusu Tespit Edildi

1 dakikada okunur
ESET‘in araştırma ekibi, Türk kullanıcıları hedefleyen ve araç muayenesi adı altında kullanıcıların kredi kartı bilgilerini isteyip sonrasında ise fatura görünümündeki Cerberus bankacılık…
Siber Saldırılar

Oyunlarla İlişkili Web Saldırıları Nisan'da %50 Artış Gösterdi

3 dakikada okunur
Siber suçlular insanların evlerinde kaldığı dönemde popülerliği artan video oyunlarından yararlanmaya başladı. Nisan ayında, oyun içerikleriyle Kaspersky kullanıcılarını zararlı sitelere yönlendirmeye çalışan…
Siber güvenlik dünyasındaki gelişmeleri takip edin.
Verinizi gizli tutuyoruz ve sadece bu servisi imkanlı kılan üçüncü partiler ile paylaşıyoruz. Gizlilik Politikamızı okuyun.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.