Yeni keşfedilen bir kötü amaçlı yazılım, kripto para madenciliği yapmak ve DDoS saldırıları gerçekleştirmek amacıyla hedeflenen sistemlere giriş elde etmek için Secure Shell (SSH) şifreleme protokolünü kullandı.
Akamai Security Intelligence Response Team (SIRT) tarafından KmsdBot olarak adlandırılan Golang tabanlı kötü amaçlı yazılımın, oyundan lüks araba markalarına ve güvenlik şirketlerine kadar çeşitli şirketleri hedef aldığı tespit edildi.
Akamai araştırmacısı Larry W. Cashdollar, “Botnet, zayıf oturum açma kimlik bilgilerini kullanan bir SSH bağlantısı aracılığıyla sistemlere bulaşıyor” dedi. “Kötü amaçlı yazılım, tespitten kaçmanın bir yolu olarak virüslü sistemde kalıcı kalmıyor.”
Kötü amaçlı yazılım, adını, başarılı bir uzlaşmanın ardından uzak bir sunucudan indirilen “kmsd.exe” adlı yürütülebilir dosyadan alır. Ayrıca Winx86, Arm64, mips64 ve x86_64 gibi birden çok mimariyi destekleyecek şekilde tasarlanmıştır.
KmsdBot, tarama işlemlerini gerçekleştirme ve kullanıcı adı ve şifre kombinasyonları listesi indirerek kendini yayma yetenekleriyle birlikte gelir. Ayrıca, madencilik sürecini kontrol etmek ve kötü amaçlı yazılımı güncellemek için donatılmıştır.
Akamai, kötü amaçlı yazılımın gözlemlenen ilk hedefinin, oyuncuların özel rol yapma sunucularına erişmesine olanak tanıyan Grand Theft Auto V için çok oyunculu bir mod olan FiveM adlı bir oyun şirketi olduğunu söyledi.
Web altyapısı şirketi tarafından gözlemlenen DDoS saldırıları, bir hedef sunucunun kaynaklarını aşmak ve işleme ve yanıt verme yeteneğini engellemek için bir TCP, UDP veya HTTP GET isteklerinin gönderildiği Katman 4 ve Katman 7 saldırılarını içerir.
Cashdollar, “Bu botnet, güvenliğin karmaşıklığının ve ne kadar geliştiğinin harika bir örneğidir” dedi. “Bir oyun uygulaması için bot olarak başlayan şey, büyük lüks markalara saldırmaya başladı.”
Bulgular, Kaspersky’nin uzaktan ölçüm verilerine göre, savunmasız yazılımların 2022’nin ilk çeyreğinde %12’den üçüncü çeyrekte %17’ye sıçrayarak kripto para madencilerini dağıtmak için giderek daha fazla kullanılmasıyla ortaya çıktı. Analiz edilen kötü amaçlı madencilik yazılımı örneklerinin yaklaşık yarısı (%48) gizlice Monero (XMR) madenciliği yapıyor.
Rus siber güvenlik şirketi, “İlginç bir şekilde, 2022’nin üçüncü çeyreğinde en çok hedef alınan ülke, kripto para birimleri kullanmanın ve madencilik yapmanın yasa dışı olduğu Etiyopya’ydı (%2,38)” dedi. “İkinci ve üçüncü sırayı Kazakistan (%2,13) ve Özbekistan (%2,01) takip ediyor.”
