1. Ana Sayfa
  2. Bitcoin
  3. ComboJack Trojan, Windows Pano’ya Kopyalanan Kripto Para Adreslerini Değiştiriyor

ComboJack Trojan, Windows Pano’ya Kopyalanan Kripto Para Adreslerini Değiştiriyor

ComboJack Trojan, Windows Pano’ya Kopyalanan Kripto Para Adreslerini Değiştiriyor

Güvenlik araştırmacıları, kullanıcıların kripto para adresini Windows panosuna ne zaman kopyaladığını algılayabilen yeni bir kötü amaçlı yazılım buldular.Kötü amaçlı yazılım, bu adresi yazılım sahibinin sahip olduğu bir adresle değiştirerek çalışır.

ComboJack olarak adlandırılan bu zararlı yazılım Evrial ve CryptoShuffler’a benzer .ComboJack ve diğer ikisi arasındaki fark, ComboJack’in yalnızca Bitcoin’i değil birden fazla kripto parayı desteklediğidir.

ComboJack birden çok kripto parayı hedefliyor

Palo Alto Networks’e göre ComboJack, kullanıcıların Bitcoin, Litecoin, Ethereum ve Monero için kripto adreslerini yazdıklarında, ayrıca Qiwi, Yandex Money ve WebMoney gibi diğer dijital ödeme sistemlerini (USD ve ruble ödemeleri) algılayabiliyor.

Palo Alto, bugün ComboJack’in aktif olarak dolaştığını söyledi. Şirket, bu zararlı yazılımın Japon ve Amerikan kullanıcılarını hedefleyen bir malspam kampanyasının nihai yükü olarak algılandığını açıkladı.

ComboJack, multi-step infection zincirini kullanıyor

Bu sömürü zinciri oldukça karmaşık ancak Dridex (bankacılık trojan) ve Locky (fidye yazılımı) kampanyaları ile geçen yıl görülen kalıpları izliyor.

Crooks mağdurlara, pasaportlarının kaybolduğunu iddia eden bir e-posta gönderirler. Bu e-postayla dosya eki PDF formatındadır.

Kullanıcı bu PDF dosyasını indirip açarsa, dosya CVE-2017-8579 DirectX güvenlik açığından yararlanmaya çalışan katıştırılmış bir HTA nesnesi içeren bir RTF dosyası açar .

Başarılı bir kullanım durumunda PDF’de bulunan RTF dosyası içerisindeki HTA dosyası, kendiliğinden açılan bir yürütülebilir dosyayı (SFX) indirip yürüten bir dizi PowerShell komutunu çalıştırır.

Ancak infection zinciri yapılmaz. Bu SFX dosyası, ComboJack’ı yükleyen parola korumalı bir SFX dosyasını indirir ve çalıştırır.

ComboJack önyükleme kalıcılığı kazanır ve yeni içerik için yarım saniyede bir Windows panosunu taramaya başlar. Kullanıcı, bir şifreleme durumu (veya ödeme sistemi) adresi için bilinen bir kalıp ile eşleşen bir dize kopyalarsa, ComboJack bu adresi bir dahili listeden bir diziyle değiştirir.

Kullanıcıların, kopyalayıp yapıştırılan kriptokrasi ödeme adreslerinin kaynak ve hedef konumlarında aynı olduğunu iki kez kontrol etmeleri önerilir.

Kaynak : BleepingComputer

Yorum Yap

Yorum Yap