H2Miner adlı tehlikeli bir botnet yeniden ortaya çıktı. Bu botnet, bilgisayarları ele geçirerek gizlice Monero (XMR) madenciliği yapıyor ve bazı durumlarda fidye yazılımı dağıtıyor.
Siber güvenlik araştırmacıları, kötü amaçlı yazılımın 2019’da ilk ortaya çıktığından bu yana genişlediğini söylüyor. Yeni versiyon artık Linux sunucuları, Windows masaüstü bilgisayarları ve bulut konteynerlerini hedef alıyor.
Sessiz Bir Virüs Bilgisayarınızı Kripto Para Madenciliği İçin Kullanıyor Olabilir
Siber güvenlik firması Fortinet‘e göre, saldırganlar bilinen yazılım açıklarını kullanarak erişim sağlıyor. Bunlar arasında birçok sistemin hala kullandığı Log4Shell ve Apache ActiveMQ bulunuyor.
Sisteme girdikten sonra, virüs XMRig adlı bir meşru açık kaynaklı madenci aracı yüklüyor.
Ancak izin istemek yerine, arka planda çalışarak bilgisayarınızın işlem gücünü kullanarak hacker’lar için Monero kazanıyor.
Ayrıca, H2Miner akıllı script’ler kullanarak antivirüs araçlarını devre dışı bırakıyor. Sistemde zaten çalışmakta olan diğer madencileri de sonlandırıyor.
Ardından, yaptığı işlemlerin izlerini siliyor. Linux’ta, her 10 dakikada bir kötü amaçlı yazılımı yeniden indiren bir cron job kuruyor.
Windows’ta ise her 15 dakikada bir sessizce çalışan bir görev ayarlıyor.
Ransomware’de Yeni Bir Hamle Daha Fazla Zarar Veriyor
Virüs, kripto para madenciliği ile sınırlı kalmıyor. Lcrypt0rx adlı yeni bir yük, bilgisayarınızı kilitleyebilir.
Basit ama yıkıcı bir yöntem kullanarak Master Boot Record‘u—bilgisayarınızın başlangıcını kontrol eden önemli bir parça—üzerine yazıyor. Bu, sistemin düzgün bir şekilde başlatılmasını engelleyebilir.
Fidye yazılımı ayrıca sahte sistem ayarları ekleyerek kendini gizliyor ve kalıcılık sağlıyor.
Kampanya, ucuz bulut sunucuları ve yanlış yapılandırılmış hizmetlerden yararlanıyor. Bir makine enfekte olduğunda, kötü amaçlı yazılım diğer sistemleri—özellikle Docker konteynerleri ve Alibaba Cloud gibi bulut platformlarını—enfekte etmek için tarıyor.
Ayrıca USB sürücüler aracılığıyla yayılıyor ve antivirüs süreçlerini tek tek sonlandırarak döngüye giriyor.
Güvenlik uzmanları, H2Miner’ı kaldırmanın derin bir temizlik gerektirdiği konusunda uyarıyor. Tüm ilgili cron job’ları, zamanlanmış görevleri ve kayıt defteri girdilerini silmelisiniz.
Eğer gizli bir script bile hayatta kalırsa, botnet kendini yeniden yükleyebilir ve gizlice Monero madenciliğine devam edebilir.
Trader’lar ve Kripto Para Kullanıcılarının Bilmesi Gerekenler
Bu saldırı doğrudan kripto para cüzdanlarını hedef almıyor. Bunun yerine, bilgisayar gücünü çalarak saldırganlar için yeni Monero coin’ler üretiyor.
Risk özellikle kendi kendine barındırılan node’lar, bulut madencileri ve yönetilmeyen VPS hizmetleri için yüksek.
Sisteminiz aşırı ısınıyor veya beklenmedik bir şekilde yavaşlıyorsa, sysupdate.exe gibi alışılmadık süreçleri veya tekrarlayan dış bağlantıları kontrol etmek isteyebilirsiniz.
Monero’nun gizlilik özellikleri saldırganlar için çekici hale geliyor. Ancak kullanıcılar için asıl risk, cihazlarınızın kontrolünü kaybetmek ve farkında olmadan kripto suçlarını finanse etmek.
Sorumluluk Reddi
Sorumluluk Reddi: Trust Project yönergelerine uygun olarak BeInCrypto, haberlerde tarafsız ve şeffaf raporları garanti eder. Bu haber makalesi doğru ve güncel bilgi vermeyi amaçlamaktadır. Ancak okuyucuların bu içeriğe dayalı herhangi bir karar vermeden önce tüm bilgileri bağımsız olarak doğrulamaları ve bir profesyonele danışmaları tavsiye edilir.