Microsoft, kripto para çalan kendi kendine yayılan yeni bir arka kapı keşfetti: tehdit nasıl çalışıyor

Kripto cüzdan hırsızlığına odaklanan kötü amaçlı yazılım yeni bir şey değil; ama Microsoft Tehdit Bilgisi ekibinin geçen hafta belgelediği yeni varyant, yapısal yenilikleri nedeniyle ayrı bir notu hak ediyor. Ars Technica'da aktarıldığı üzere, kod adı dahili olarak "SpyloaderX" olarak verilen örnek, klasik trojan davranışını kendi kendine yayılma kapasitesiyle birleştiriyor.

Kötü amaçlı yazılımın bulaşma yolu, en sık görüldüğü biçimiyle, geleneksel kimlik avı ekleri. Sıkıştırılmış arşivler içine yerleştirilmiş Windows yürütülebilir dosyaları, e-posta tarayıcılarının yaygın imza tabanlarına yakalanmadan geçiyor. Microsoft, ilk vakalardan beri farklı varyantların aynı çekirdek modülü kullandığını gösterdi.

Öne çıkan ilk teknik özellik, sistem süreçlerini taklit etme. Saldırgan, açılış sırasında Windows işletim sisteminin servis kontrolcüsü gibi bilinen bir süreç adıyla başlatma giriş noktaları oluşturuyor. Bu, EDR çözümlerinin denetlediği davranış tabanlı tetiklenmelerden kaçmaya yardımcı oluyor.

İkinci teknik özellik, hedef dosya yolu kataloğunun genişliği. Microsoft analizine göre kötü amaçlı yazılım, MetaMask, Trust Wallet, Exodus, Electrum ve klasik Bitcoin Core'un cüzdan dosyalarını tutmak için kullandığı klasör adlarını taramaya programlanmış. Yine de en kritik nokta, çevrimdışı saklanan yedek tohum tümcelerine yönelik aramalar.

Üçüncü teknik özellik, kendi kendine yayılma. Kötü amaçlı yazılım, ana sisteme bulaştıktan sonra yerel ağ tarama döngüsü çalıştırıyor; SMB paylaşımlarına yerleştirilmiş kopyalar, daha sonra başka kullanıcıların oturum açışlarında zinciri devam ettiriyor. Microsoft, bunun klasik solucan davranışıyla kripto çalma trojanını ilk defa bu kadar net birleştiren bir örnek olduğunu söyledi.

Carpet-bombing benzeri dağıtım modeli yerine, hedeflerin görünüşte belirlenmiş olması analiz için ayrı bir yön sunuyor. Mevcut vakaların önemli bir kısmı Doğu Avrupa, Güneydoğu Asya ve Brezilya'daki orta ölçekli işletme ağlarından geliyor. Microsoft, bu coğrafi yoğunlaşmanın muhtemelen kampanyanın dağıtım kanalına bağlı olduğunu söyledi.

Mali zarara ilişkin somut sayılar henüz açıklanmadı. Ancak Ars Technica'ya konuşan kuruluşlar, izlenen cüzdanlardan yapılan toplam dışarı transferin son sekiz haftada 12 milyon dolara ulaşmış olabileceğini söyledi. Para genelde küçük tutarlarda mikser servislerine yönlendiriliyor.

Kurumsal savunma için somut bir önlem dizisi öne çıkıyor. Birincisi, Microsoft Defender ve EDR güncellemelerinin tehdit imzasını içerdiğinden emin olmak. İkincisi, SMB paylaşımlarının kurumsal düzeyde okuma-yazma izinlerinin gözden geçirilmesi. Üçüncüsü, finans çalışanlarına yönelik cüzdan klasör adlarının izleme listesine eklenmesi.

Bireysel kullanıcılar için temel uyarı yine standart hijyene dönüyor: tohum tümcesini ve özel anahtarları asla bağlı bir bilgisayarda saklamayın, çevrimdışı (ideal olarak metal etiket) ve donanım cüzdanı kullanın. Microsoft, hedeflenen cüzdan uygulamalarının kendi yedekleme mekanizmalarının çoğunlukla mevcut çevrimdışı seçeneklere sahip olduğunu hatırlatıyor.

Genel resim: kripto cüzdan kötü amaçlı yazılımları, son üç yılda taze bir yapısal evrim yaşıyor. Sosyal mühendislik tabanlı saldırılar, yerini sürekli olarak otomatik yayılan ağ tabanlı tehditlere bırakıyor. SpyloaderX, bu dönüşümün en somut örneklerinden biri ve standart dijital varlık koruma çerçevelerinin yeniden gözden geçirilmesi için bir başka neden.