Siber Muhbir

Modularseven, driftme ve catme adlı üç zararlı paket, kaldırılmadan önce geçen ay toplam 431 kez indirildi.

Fortinet FortiGuard Labs araştırmacısı Gabby Xiong, "Bu paketler, ilk kullanımda Linux cihazlarında bir CoinMiner yürütülebilir dosyası dağıtıyor" dedi ve etkinlik paylaşımlarının, bir kripto madencisini dağıtmak için culturestreak adlı bir paketin kullanılmasını içeren önceki bir kampanyayla örtüştüğünü de sözlerine ekledi.

Kötü amaçlı kod, uzak bir sunucudan ilk aşamanın kodunu çözen ve alan __init__.py dosyasında, madencilik faaliyeti için bir yapılandırma dosyası ("unmi.sh") ve GitLab'da barındırılan CoinMiner dosyasını getiren bir kabuk komut dosyasında bulunur.

ELF ikili dosyası daha sonra nohup komutu kullanılarak arka planda yürütülür, böylece oturumdan çıktıktan sonra bile işlemin çalışmaya devam etmesi sağlanır.

Xiong, "Daha önceki 'culturestreak' paketinin yaklaşımını yineleyen bu paketler, yüklerini gizleyerek kötü amaçlı kodlarının uzak bir URL'de barındırarak tespit edilebilirliğini etkili bir şekilde azaltıyor" dedi. "Yük daha sonra kötü amaçlı etkinliklerini yürütmek için çeşitli aşamalarda aşamalı olarak serbest bırakılır."

Culturestreak paketine bağlantılar, yapılandırma dosyasının papiculo[.] net ve madeni para madenciliği yürütülebilir dosyaları, halka açık bir GitLab deposunda barındırılır.

Üç yeni paketteki dikkate değer bir gelişme, kabuk komut dosyasında hain niyetlerini gizleyerek ekstra bir aşamanın tanıtılması, böylece güvenlik yazılımı tarafından tespit edilmekten kaçınmasına yardımcı olması ve istismar sürecini uzatmasıdır.

Xiong, "Ayrıca, bu kötü amaçlı yazılım kötü amaçlı komutları ~/.bashrc dosyasına ekliyor" dedi. "Bu ekleme, kötü amaçlı yazılımın kullanıcının cihazında kalıcı olmasını ve yeniden etkinleştirilmesini sağlayarak gizli çalışma süresini etkili bir şekilde uzatır. Bu strateji, kullanıcının cihazının saldırganın yararına uzun süreli, gizlice kullanılmasına yardımcı olur."