Dünya çapında birçok kuruluş, "çoklu-kötü amaçlı yazılım" kampanyasıyla geri kapı, tuş kaydedici ve madenci saldırılarına maruz kaldı

Kuruluşların kaynaklarını kripto para kazmak için kullanmak için madencileri, verileri çalmak için tuş kaydedicileri (keylogger) ve sistem erişimi elde etmek için arka kapılar bulaştırmayı amaçlayan saldırılarla ilgili yayınlanan FBI raporunun ardından konunun üzerine giden Kaspersky uzmanları, kampanyanın hala devam ettiğini keşfetti.

Mayıs'tan Ekim ayına kadar devlet kurumları, tarımsal kuruluşlar, toptan ve perakende ticaret şirketleri gibi kuruluşları denetleyen Kaspersky telemetrisi, 10 binden fazla saldırının 200'den fazla kullanıcıyı etkilediğini gösterdi. Siber suçlular ağırlıklı olarak Rusya, Suudi Arabistan, Vietnam, Brezilya ve Romanya'daki kurbanları hedef alırken zaman zaman ABD, Hindistan, Fas ve Yunanistan'da da saldırılar tespit edildi.

Kaspersky, sunuculardaki ve iş istasyonlarındaki güvenlik açıklarından yararlanarak sistemlere sızan yeni kötü amaçlı komut dosyalarını da ortaya çıkardı. Komut dosyaları sistemden içeri girdikten sonra Windows Defender güvenlik korumasını manipüle etmeye, yönetici ayrıcalıkları kazanmaya ve çeşitli antivirüs ürünlerinin işlevselliğini bozmaya çalışıyor.

Bunu takiben komut dosyaları artık çevrimdışı olan bir web sitesinden bir arka kapı, tuş kaydedici ve madenci indirmeye çalışıyor. Madenci, Monero (XMR) gibi çeşitli kripto para birimleri üretmek için sistem kaynaklarından yararlanıyor. Bu sırada tuş kaydedici, kullanıcı tarafından klavye ve fareyle yapılan tüm tuş vuruşlarını yakalarken, arka kapı veri almak ve iletmek için bir Komuta ve Kontrol (C2) sunucusuyla iletişim kuruyor. Bu, saldırganın ele geçirilen sistem üzerinde uzaktan kontrol elde edebilmesini sağlıyor.

Kaspersky Güvenlik Uzmanı Vasily Kolesnikov, şunları söylüyor: "Bu çoklu kötü amaçlı yazılım kampanyası, yeni modifikasyonların eklenmesiyle hızla gelişiyor. Saldırganların motivasyonu, mümkün olan her yolla finansal kazanç elde etme üzerine. Araştırmamız, bunun kripto para madenciliğinin ötesine geçebileceğini, çalınan oturum açma kimlik bilgilerini dark web'de satmak veya arka kapının yeteneklerini kullanarak gelişmiş senaryolar yürütmek gibi faaliyetleri içerebileceğini gösteriyor. Kaspersky Endpoint Security gibi ürünlerimiz, kapsamlı koruma yetenekleri sayesinde yeni modifikasyonlar da dahil olmak üzere bulaşma girişimlerini tespit edebilir."