Siber suçlular, popüler YouTube içerik üreticilerini sahte telif hakkı talepleriyle hedef alarak onları binlerce izleyiciye internet kısıtlamalarını aşma araçları olarak gizlenmiş kripto para madenciliği kötü amaçlı yazılımlarını dağıtmaya zorluyor.
Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) araştırmacıları, tehdit aktörlerinin YouTube içerik oluşturucularına kötü amaçlı yazılım dağıtmaları için şantaj yaptığı sofistike bir kötü amaçlı kampanyayı ortaya çıkardı. Saldırganlar içerik oluşturuculara karşı iki sahte telif hakkı şikayetinde bulunuyor. Ardından YouTube kanallarını silecek üçüncü bir saldırı tehdidinde bulunuyor. İçerik oluşturucular bundan kaçınmak için farkında olmadan kötü niyetli bağlantıları tanıtıyor ve bunların kanallarını kurtarmak için gerekli olduğuna inanıyor.
Kaspersky telemetrisi, aracı indirdikten sonra kötü amaçlı yazılımın bulaştığı 2 binden fazla son kullanıcının varlığını doğruladı. Ancak etkilenen kullanıcıların gerçek sayısı muhtemelen çok daha yüksek. Güvenliği ihlal edilen ve 60 bin abonesi olan bir YouTube kanalı, 400 binden fazla görüntüleme alan zararlı bağlantılar içeren birkaç video yayınladı. Sahte bir web sitesinde barındırılan virüslü arşiv 40 binden fazla indirme kaydetti.
SilentCryptoMiner olarak adlandırılan zararlı yazılım, internet kısıtlamalarını aşma araçlarına yönelik artan talepten yararlanıyor. Kaspersky’nin telemetrisi, bypass araçlarında yaygın olarak kullanılan bir teknoloji olan yasal Windows Paket Yönlendirme sürücülerinin kullanımında önemli bir artış olduğunu gösteriyor. Ağustos ayında yaklaşık 280 bin olan tespit sayısı Ocak ayında 500 bine yükseldi ve altı ayda toplam 2,4 milyondan fazla tespit yapıldı. Saldırganlar, orijinal olarak GitHub’da yayınlanan meşru bir Deep Packet Inspection (DPI) atlatma yardımcı programını değiştirerek özellikle bu atlatma araçlarını arayan kullanıcıları hedef aldı. Kötü niyetli sürümler şüphe çekmemek için orijinal işlevselliği koruyor. Ancak kullanıcıların bilgisi veya izni olmadan kripto para madenciliği yapmak için bilgi işlem kaynaklarını toplayan, cihaz performansını önemli ölçüde düşüren ve elektrik maliyetlerini artıran SilentCryptoMiner’ı gizlice yüklüyor.
Kaspersky GReAT Baş Güvenlik Araştırmacısı Leonid Bezvershenko, şunları söylüyor: “Bu kampanya, zararlı yazılım dağıtım taktiklerinde endişe verici bir evrim olduğunu gösteriyor. Başlangıçta Rusça konuşan kullanıcıları hedefleyen bu yaklaşım, internetin küresel olarak parçalanması arttıkça diğer bölgelere de kolayca yayılabilir. Bu plan, güvenilir içerik oluşturucuları farkında olmadan suç ortağı olarak etkili bir şekilde kullanıyor. Bu da kullanıcıların çevrimiçi kısıtlamaları aşmak için araçlar aradığı her pazarda işe yarıyor.”
Güvenlik çözümleri zararlı bileşenleri tespit edip kaldırdığında, değiştirilmiş yükleyici kullanıcıları “Dosya bulunamadı, tüm antivirüsleri kapatın ve dosyayı yeniden indirin” gibi mesajlarla antivirüs korumalarını devre dışı bırakmaya teşvik ediyor. Bu da sistem güvenliğini daha da tehlikeye atıyor.
Kaspersky GReAT, bu konuda belirli dosya karmalarının yanı sıra swapme[.]fun ve canvas[.]pet gibi alan adlarına bağlantılar da dahil olmak üzere çeşitli tehlike göstergeleri tespit etti. Saldırganlar, öncekiler engellendiğinde hızla yeni dağıtım kanalları oluşturarak kalıcılık gösteriyor.
Tehdidin ayrıntılı teknik analizi için Securelist.com adresini ziyaret edebilirsiniz.
Kaspersky, bu tür tehditlerin kurbanı olmamak için şunları öneriyor:
- Kurulum dosyaları tarafından istense bile güvenlik çözümünüzü asla devre dışı bırakmayın. Çünkü bu kötü amaçlı yazılım dağıtımını kolaylaştırmak için yaygın bir taktiktir.
- Madenci faaliyetine işaret edebilecek aşırı ısınma, pilin bitmesi veya performans düşüşü gibi olağandışı cihaz davranışlarına dikkat edin.
- Faaliyetlerini gizlemeye çalışsa bile kripto madenciliği yapan kötü amaçlı yazılımları tespit edebilen Kaspersky Premium gibi güvenilir bir güvenlik çözümü kullanın.
- İşletim sisteminizi ve tüm yazılımları düzenli olarak güncelleyin. Birçok güvenlik sorunu, yazılımların güncellenmiş sürümleri yüklenerek çözülebilir.
- Yeni uygulamaları yüklemeden önce bağımsız incelemeleri kontrol ederek ve geçmişlerini araştırarak geliştiricilerin itibarını doğrulayın.
