Facebook Messenger’da bu yeni kötü amaçlı yazılımdan sakının

0 47

2017 yılı, siberler için kârlı bir yıl olduğu kanıtlandı. Bu yıl önemli malware ve fidye saldırıları yapıldı ve yöntemler korkutucu bir tempoda gelişmeye devam ediyor gibi görünüyor. Birçoğu yaratıcı bir şekilde mevcut güvenlik çözümlerini atlamakla birlikte, bu zararlı yazılım basit, ancak son derece etkili bir şekilde hızlı bir biçimde imha edilmesine neden oluyor.

Trend Micro, Tokyo merkezli cybersecurity büyük Trend Micro, Güney Kore’de ilk kez gözlemlenen “Digmine” adlı yeni bir kriptocurrency-madencilik botunun tüm dünyadaki Facebook Messenger üzerinden hızlı bir şekilde yaygınlaştığını söyleyerek uyardı. Güney Kore’den sonra Vietnam, Azerbaycan, Ukrayna, Filipinler, Tayland ve Venezüella’da yaygınlaştı. Yayılma şekli göz önüne alındığında, diğer ülkelere yakında ulaşması muhtemeldir.

Facebook Messenger farklı platformlarda çalışır; ancak “Digmine” yalnızca Messenger’ın masaüstü veya web tarayıcı (Chrome) sürümünü etkiler. Dosya diğer platformlarda açılıyorsa, kötü niyetli yazılım amaçlandığı gibi çalışmayacak, Trend Micro bir blog yazısında söyledi. “Digmine” AutoIt’de kodlanır ve bir video dosyası olarak poz verecek kurbanlara gönderilir, ancak aslında AutoIt çalıştırılabilir bir komuttur.

Kullanıcının Facebook hesabı otomatik olarak oturum açmak için ayarlanmışsa, “Digmine” dosyaya hesabın arkadaşlarına bir bağlantı göndermek için Facebook Messenger’ı değiştirecek. Facebook’ın kötüye kullanımı şu an için yayılma ile sınırlıdır, ancak saldırganların Facebook hesabının kendisini gasp etmesi imkansız olmayacaktır. Bu işlevselliğin kodu, komuta ve denetime (C & C) sunucudan gönderilir, bu da güncelleştirilebileceği anlamına gelir.

Kriptokaynaklı madencilik botunlarının ve özellikle “Digmine” (ki Monero’daki madenler) için bilinen bir yöntem, mağdurun sisteminde olabildiğince uzun süre kalmaktır. Ayrıca blog yazısı, bu, mümkün olduğunca çok sayıda makineye bulaşmasını istiyor, çünkü bu, karma hızı ve potansiyel olarak daha fazla siber suç geliri anlamına geliyor. Kötü amaçlı yazılım, bir kayıt defteri otomatik başlatma mekanizmasının yanı sıra sistem bulaşma işaretleyicisinin kurulması gibi diğer yordamları da gerçekleştirecektir. Chrome’da arama yapar ve başlatır, ardından C & C sunucusundan aldığı kötü amaçlı bir tarayıcı uzantısı yükler.

Chrome zaten çalışıyorsa, uzantının yüklü olduğundan emin olmak için kötü amaçlı yazılım sonlandırılacak ve Chrome’u yeniden başlatacaktır. Uzantılar yalnızca Chrome Web Mağazası’ndan yüklenebilir ve barındırılabilirken, saldırganlar Chrome’u komut satırı aracılığıyla başlatarak bunu atladılar.

Bunları da beğenebilirsin Yazarın diğer Konuları

Yorumlar

Bukadarnet