iOS Cihazlara Web Kripto Madenciliği Enjekte Ediliyor

Son zamanlarda adını akıllı telefonları hedef alarak kulanıcıların kimlik bilgilerini ele geçirmesiyle duyduğumuz Roaming Mantis siber saldırı grubu, kötü amaçlı içerik dağıtım sistemi aracılığıyla web kripto madenciliği enjektesi için aktif olarak iOS cihazlarını hedefliyor.

Roaming Mantis isimli bu grup hâlihazırda; hedef sisteme kötü niyetli android uygulaması yaymayı amaçlayan DNS korsanlığı ve Facebook ve Chrome gibi meşru uygulamalarda IP sahteciliği (spoofing) gibi çeşitli siber suçlara karışmış durumda.

Zararlı yazılımları şimdiden Avrupa, Asya, Orta Doğu gibi çeşitli ülkelerde yaklaşık 27 dili destekliyor ve şu aralar kripto-madenciliği kampanyasını başlattılar.

Roaming Mantis grubundaki web madencisi, Apple’ın kimlik avı (phishing) sayfası aracılığı ile yayıldı. Böylece kullanıcılar, saldırganların kötü amaçlı kripto madenciliği kodunu yerleştirmesine izin verecek olan sahte bir sayfaya yönlendirileceklerdi.

Roaming Mantis ayrıca, ziyaretçilerine video ve daha fazlası gibi ücretsiz içerikler sunan hileli sayfalarını kullanarak prezi.com üzerinden zararlı yazılımını yayma çabası içinde.

Peki iOS Kripto-Madenciliği Enfeksiyon Yöntemi Nedir ?

Saldırgan öncelikle hedef kurbanların kimlik bilgilerini çalmak üzere onları Apple oltalama sayfasına yönlendirir.

Bu arada, web madenciliği programcığı HTML koduna eklenir ve bir saldırgan iOS cihazlarında madencilik işlemi yapacak olan sahte Apple portalına yeniden yönlendirmeyi devre dışı bırakır.

 

Bir kullanıcı açılış sayfasına erişmeye çalıştığında, yalnızca boş bir sayfa ile karşılaşır. Madencilik betiği ise o sırada yürütme işlemini başlatır ve CPU kullanımı arka planda birden %90’a ulaşır.

Araştırmacıların bulguları saldırganın yeniden Apple kimlik avına geçtiğini göstermekte. Muhtemelen saldırganlar coinhive madencisi aracılığıyla iOS cihazlarındaki web madenciliğinden olası geliri analiz ediyor.

Diğer Enfeksiyon Yöntemlerine Kısa Bir Bakış

Roaming Mantis grubu saldırganları, başka bir Android zararlı yazılımı “sagawa.apk”  dağıtım sistemi tarafından dağıtılan kötü amaçlı Android APK dosyaları aracılığıyla coinhive madenciliği de yapıyor.

Bu durumda, ekfeksiyon vektörü kullanıcıların bir Japon dağıtım şirketinden URL’si ile beraber bir  oltalama SMS bildirimi almasına yol açmakta.

Kullanıcı bağlantıya tıkladıktan sonra zararlı yazılım kurbanları “sagawa.apk” nın indirilip yükleneceği kötü amaçlı bir web sitesine yönlendiriyor.

Kaspersky araştırmasına göre, “Ne yazık ki, Roaming Mantis grubu ve “sagawa.apk” dağıtım mekanizmasının hizmet sahibi arasındaki ilişki şu anda çok açık değil. Müşterilerle aynı hizmeti kullanıyor olabilirler veya kullanmıyorlardır. Ancak bu suçlu grupların Android zararlı yazılımlarını yaymak için aynı kötü amaçlı ekosistemi kullandıkları açıktır.”

Özetle, saldırganlar kullanıcıları aldatan zararlı yazılımlarını yaymak için prezi.com’un çevrimiçi dinamik sayfalarından yararlanıyorlar ve kullanıcı bir defa bu oltalama linkine tıkladığında madencilik betiğinin enjekte edildiği sayfaya yönlendiriliyor. Böylece saldırganlar belirledikleri hedef kullanıcılar üzerinden kripto madenciliği yaparak yasal olmayan yollardan maddi kazanç elde ediyor.

Hits: 190

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*