Güvenlik araştırmacıları, bir tehdit oluşturmaktan ziyade, bir tür kripto madenciliği kötü amaçlı yazılımını araştırmak ve yok etmek gibi görünen yeni bir botnet keşfettiler. Yeni bulunan botnet, iyi amaçlı bir yazılım olması nedeni ile ilgi uyandırdı.
Fbot olarak adlandırılan botnet, normalde DDoS saldırıları için kullanılan bir program olan Mirai’ye dayanan Satori’nin bir türevidir. Raporda, alışılmadık bir şekilde DDoS modülü devre dışı bırakılmış gibi görünüyor. Bunun yerine Fbot, belirli bir kripto-jacking malware ile virüs bulaşmış cihazların aranmasını ve sistemde yerini aldığını söylüyor.
Qihoo 360Netlab ekibi tarafından keşfedilen yazılım, Android tabanlı Monero madenci ADB.Miner’ın bir varyantı olan com.ufo.miner adlı bir kötü amaçlı yazılım türünü arıyor.
Araştırmacılar, Fbot’un taramaya ve yaymaya, kendini kötü amaçlı yazılımın üzerine kurmasına ve sonunda kendini imha etmeye programlandığını söylüyor. Yeni bulunan botnet, belirli bir açık bağlantı noktasına sahip aygıtları arayarak kendisini dağıtıyor. Yeni bulunan botnet, sorun bulunduğunda com.ufo.miner öğesini kaldırmak için bir komut dosyası kullanıyor.
Ayrıca, alışılmadık bir şekilde, botnet kodu, standart bir alan adı sistemi (DNS) üzerinden değil adresleri EmerDNS olarak adlandıran ve izlerini daha da zorlaştıran bir ad merkezli alternatif bir etki alanı adına bağlanıyor.
Araştırmacılar şunları söyledi:
Geleneksel DNS’den başka EmerDNS kullanarak Fbot’un seçimi oldukça ilginç. Güvenlik araştırmacısının botnet’i bulması ve takip etmesi için çıtayı yükseltti. (Güvenlik sistemleri yalnızca geleneksel DNS adlarına bakmaları halinde başarısız olur.)
Yeni bulunan botnet, kimin tarafından yayıldı?
Fbot’un iyi niyetleri olan bir kişi tarafından veya rekabeti ortadan kaldırmak isteyen rakip bir kripto-jacker tarafından kurulup kurulmadığı henüz net değildir.
Geçen yıl içinde çeşitli güvenlik ekiplerinin düşündüğüne göre kripto madenciliği kötü amaçlı yazılımların yaygınlığı arttı. Küresel olarak işletmeler ve hükümetler ile bireylerin sahip olduğu sistemlerde bulundu. Dahası, bir önceki siber suç aracı olan ransomware, popülerliğini çok kısa sürede yitirdi.
Gerçekten de, BT güvenlik firması Trend Micro Ağustos ayı sonlarında, kripto-jacking saldırılarının 2017 yılının ilk yarısından 2018’in ilk yarısına kadar yüzde 956 oranında arttığını bildirdi.
Yükselen tehdide karşı koymak için mevcut girişimler arasında, Firefox 31 Ağustos’ta tarayıcılarının yakında kripto madenciliği kötü amaçlı yazılım betiklerini otomatik olarak engelleyeceğini söyledi. Opera tarayıcısı, Ocak ayında mobil cihazlar için benzer koruma başlattı.
En güncel haberlerimizi Telegram kanalımızdan, Instagram hesabımızdan, Facebook sayfamızdan ve Twitter hesabımızdan takip edebilirsiniz.
