Madencilik, Hack ve Arka Kapı Modüllerini İçeren Yepyeni Bir Virüs
CrazyCoin olarak adlandırılan, NSA sızdırılmış EternalBlue exploit
(yetkisiz erişim kazanma programı) kitine yayılan araştırmacılar tarafından
yeni bir virüs keşfedildi. Araştırmacılar bu yeni bilgisayar virüsüyle
cephaneliğinde çok sayıda yetenek barındırdığını keşfettiler.
Virüs muhtevasında madencilik, bilgisayar korsanlığı ve ‘arka kapı’ modüllerinin bulunduğu iddia ediliyor. Bir kullanıcının makinesini temizledikten sonra madencilik ve veri çalma modüllerini indirir. Daha sonra Double Pulsar arka kapı programını yerleştirir, böylece bu modüllerin her biri birbirleriyle işbirliği yapar ve kendi faaliyetlerini yürütür.
Virüsü bulan 360 Baize Labs araştırmacıları tarafından belirtildiği gibi, “Powershell kodu, kurbanın çalıştırılması için makineye çeşitli modüller indirmekten sorumludur.” Virüse dahil olan madencilik modülünün Monero ve HNS madeni paralarının madenciliği için kullanıldığını belirttiler.
Ayrıca, virüsün çalma modülü tarafından çalınan veriler
arasında, mağdurun kimlik kartları, şifreler, bitcoin cüzdanları ve benzeri
hassas belgeler yer alır.
Bu çalınan bilgiler daha sonra saldırganlar tarafından kontrol edilen ve işlenen bir sunucuya geri gönderilir. Kullanıcıları heyecanlandıran CrazyCoin, EternalBlue’yu sistemler arasında çoğalma çabasından yararlanırken, onları birkaç belirli şey hakkında uyarıyor. Bu exploit kiti, SMBv1’deki bir güvenlik açığını kötüye kullandığı için bilinir, güvenlik yamalarını buna karşı daha da güncellemek önemlidir.
Güvenlik açığı CVE-2017-0144, Microsoft Windows’un farklı
varyantlarındaki SMB sürüm 1 sunucusunun, uzak saldırganlardan gelen istisnai
olarak oluşturulan paketleri yanlış ele aldığı ve hedeflenen bilgisayarda
rasgele kod yürütmesine izin verdiği gerekçesiyle bulunmaktadır.
CrazyCoin virüsünün 3611 numaralı bağlantı noktasında komutları dinlediği ve aldığı söyleniyor.