CrazyCoin olarak adlandırılan, NSA sızdırılmış EternalBlue exploit (yetkisiz erişim kazanma programı) kitine yayılan araştırmacılar tarafından yeni bir virüs keşfedildi. Araştırmacılar bu yeni bilgisayar virüsüyle cephaneliğinde çok sayıda yetenek barındırdığını keşfettiler.

Virüs muhtevasında madencilik, bilgisayar korsanlığı ve ‘arka kapı’ modüllerinin bulunduğu iddia ediliyor. Bir kullanıcının makinesini temizledikten sonra madencilik ve veri çalma modüllerini indirir. Daha sonra Double Pulsar arka kapı programını yerleştirir, böylece bu modüllerin her biri birbirleriyle işbirliği yapar ve kendi faaliyetlerini yürütür.

Virüsü bulan 360 Baize Labs araştırmacıları tarafından belirtildiği gibi, “Powershell kodu, kurbanın çalıştırılması için makineye çeşitli modüller indirmekten sorumludur.” Virüse dahil olan madencilik modülünün Monero ve HNS madeni paralarının madenciliği için kullanıldığını belirttiler.

Ayrıca, virüsün çalma modülü tarafından çalınan veriler arasında, mağdurun kimlik kartları, şifreler, bitcoin cüzdanları ve benzeri hassas belgeler yer alır.

Bu çalınan bilgiler daha sonra saldırganlar tarafından kontrol edilen ve işlenen bir sunucuya geri gönderilir. Kullanıcıları heyecanlandıran CrazyCoin, EternalBlue’yu sistemler arasında çoğalma çabasından yararlanırken, onları birkaç belirli şey hakkında uyarıyor. Bu exploit kiti, SMBv1’deki bir güvenlik açığını kötüye kullandığı için bilinir, güvenlik yamalarını buna karşı daha da güncellemek önemlidir.

Güvenlik açığı CVE-2017-0144, Microsoft Windows’un farklı varyantlarındaki SMB sürüm 1 sunucusunun, uzak saldırganlardan gelen istisnai olarak oluşturulan paketleri yanlış ele aldığı ve hedeflenen bilgisayarda rasgele kod yürütmesine izin verdiği gerekçesiyle bulunmaktadır.

CrazyCoin virüsünün 3611 numaralı bağlantı noktasında komutları dinlediği ve aldığı söyleniyor.

Kaynak

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

You may also like