Siber saldırganlar, bu kez de Monero madenciliği yapan kötü amaçlı yazılımı yaymak için ünlü oyuncu Scarlett Johansson’ın fotoğrafını kullandı. Hackread’in haberine göre, Imperva adlı şirketteki araştırmacılar madencilik yapan kötü amaçlı yazılımın kurulması için saldırganların PostgreSQL sunucusunu ele geçirdiğini fark etti.
Kötü amaçlı yazılım ünlü Hollywood yıldızı Scarlett Johansson’un fotoğrafının içine gizlenmişti. Yazılımın ana amacıysa Monero madenciliği yapmaktı. PostgreSQL, araştırmacıların MySQL’den daha karmaşık olduğunu düşündüğü ve yaygın olarak kullanılan açık kaynak veritabanı olarak biliniyor.
Imperva’daki araştırmacıları ortak veritabanı saldırılarını, bilgisayar korsanları tarafından kullanılan araçları ve yöntemleri, veritabanına nasıl eriştiklerini ve ne yaptıklarını öğrenmek için bu veritabanını kullandı. Standart bilgi toplama adımlarını takip ederken olağandışı bir olay gözlemlendi. Saldırganlar, bir web sitesinden Scarlett Johansson’a ait bir görüntü indirmişti ve dosyanın içinde gizlenmiş ikili veri yükü söz konusuydu.
Imperva’daki araştırmacılar ayrıca saldırganların sunucuda komutlarını yürütmek üzere PostgreSQL ile etkileşime geçebilmek için gelişmiş veya değiştirilmiş bir Metasploit modülü kullandıklarını gözlemledi. Araştırmacılar, saldırganın sistem komutlarını yürütme yetkisini kazandığı an, belirli bir cihazda kripto para birimi madenciliği planı için sunucunun CPU’sunu ve GPU’sunu belirlemek üzere çalıştıklarını belirtti. Son olarak, cihaza Monero madenciliği programı kurulduğu gözlemlendi. Şu ana kadar saldırganların 312 Monero topladığı biliniyor. Bu da saldırganların birden fazla sunucuyu ele geçirdiğini gösteriyor.
Araştırmacılara göre, saldırganların ünlü bir yüz kullanmasının arkasındaysa güvenlik ürünlerini yanıltma amacı var. Çünkü bu teknikte gerçek görüntü dosyalarına ya da belgelere eklenen ikili kod, dosyaları değiştirebiliyor ve anti-virüs yazılımlarının çoğunu atlatabiliyor. Nitekim, resim, VirusTotal içinde tarandığında, yalnızca üç anti-virüs programı dosyayı zararlı olarak algıladı. Gömülü kripto madenciliği programı tek tek tarandığındaysa, 18 anti-virüs programı bunu tespit etti.
Siber Bülten abone listesine kaydolmak için formu doldurun