Bilgisayar korsanları, gizlice kripto madenciliği yapmak için Hola Browser’ı ele geçirdi

Bir tedarik zinciri saldırısı nedeniyle, bazı Windows kullanıcıları Hola Browser kurulumuyla birlikte farkında olmadan bir Monero kripto madenciliği yazılımı indirdiler.

Hola Browser, Monero madencilik yazılımını yaymak için nasıl bir araç haline getirildi

Haziran ayı başlarında, siber güvenlik araştırmacıları, İsrail merkezli Hola Browser’ın güvenliği ihlal edilmiş bir sürümünün (1.251.91.0 sürümü) kullanıcıların cihazlarına gizlice bir Monero kripto madencilik yazılımı indirdiğini ortaya çıkardı. Keşiften kısa bir süre sonra Hola, bir tedarik zinciri saldırısının kurbanı olduğunu doğruladı. Bu makalede, saldırının nasıl gerçekleştiğini, kripto madencilik yazılımının nasıl çalıştığını ve bunun etkilenen kullanıcılar için ne anlama geldiğini ayrıntılı olarak ele alıyoruz.

Hola Browser nedir ve bu zararlı yazılım nasıl keşfedildi?

İsrailli Hola şirketi, kullanıcıların coğrafi kısıtlamaları aşmak ve bölgeye özel içeriklere erişmek için kullandıkları VPN hizmetiyle tanınıyor. VPN’in yanı sıra, şirket, yerleşik VPN ve proxy özelliklerine sahip Chromium tabanlı bir tarayıcı olan Hola Browser’ı da geliştiriyor.

Araştırmacılar, AppEsteem Windows Certified Application programı kapsamında yapılan rutin bir uygunluk denetimi sırasında ilk kez sorun belirtilerini fark ettiler. Bu sertifikasyon sürecinin bir parçası olarak, bağımsız siber güvenlik firmaları yazılımları denetleyerek, yazılımın yalnızca beyan ettiği bileşenleri içerdiğinden ve istenmeyen ya da zararlı özellikler barındırmadığından emin olurlar. Sertifika verildikten sonra bile, uygulamalar AppEsteem’in katı kurallarına uymaya devam ettiklerinden emin olmak için düzenli olarak yeniden değerlendirilir.

Uzmanlar, bu rutin takip kontrollerinden birinde, Hola Browser for Windows’un 1.251.91.0 sürümüyle birlikte izinsiz bir dosyanın da yüklendiğini fark ettiler. Yükleme tamamlandıktan sonra, dosya C:\Program Files\Hola\me{.}exe konumuna otomatik olarak kaydediliyordu. Dosya, bir dizi şüpheli özelliğe sahip olması nedeniyle araştırmacıların dikkatini hemen çekti. Dosya onaylanmış uygulama dosyaları listesinde yer almıyordu, zaman damgası yoktu ve dijital imzası da bulunmuyordu. Bunun yanı sıra, kodları büyük ölçüde karmaşıklaştırılmıştı ve kendisini doğrudan sistem belleğine yerleştirebilme özelliğine sahipti.

İlginç bir şekilde, araştırmacılar bu dosyanın her kurulumda görünmediğini belirttiler. Enfeksiyon tüm kullanıcılara yayılmadığı için, uzmanlar başından itibaren Hola Browser dağıtım sürecinin belirli bir aşamasının ele geçirildiğinden şüphelendiler. Hola daha sonra bu teoriyi doğrulayarak, bir tedarik zinciri saldırısının kurbanı olduğunu kabul etti.

Şüpheli me{.}exe dosyasına gelince, daha ayrıntılı bir inceleme sonucunda bu dosyanın Monero madenciliği yapmak üzere yapılandırılmış, gizli çalışan bir kripto madencisi olduğu ortaya çıktı. Şimdi bunun nasıl işlediğine dair teknik ayrıntılara geçeceğiz.

Saldırganlar, Monero madenciliği yapmak için Hola Browser’ı nasıl kullandılar?

Kripto madencileri, kripto para madenciliği yapmak için bir bilgisayarın işlem gücünü kullanan programlardır. Bazı kullanıcılar bu yazılımı biraz gelir elde etmek amacıyla kasıtlı olarak yüklerken, sahibinin bilgisi dışında bir bilgisayarda çalışan madencilik yazılımları genellikle istenmeyen yazılımlar olarak sınıflandırılır.

Gizli bir madencilik yazılımını çalıştırmak, cihazın hızını gözle görülür şekilde düşürebilir, kullanıcının elektrik faturasını ani bir şekilde artırabilir ve donanımın ömrünü kısaltabilir. Bununla birlikte, bir kripto madenciliği virüs bulaşmasının aslında sahibinin kripto para birimini çalmayacağını belirtmek gerekir; ortaya çıkan zarar, siber suçluların kendi ceplerini doldurmak için bilgisayarınızın donanım kaynaklarını sömürmesiyle sınırlıdır.

Yukarıda da belirttiğimiz gibi, Hola Browser ile birlikte gelen zararlı indirme dosyası, kurbanların cihazlarına gizlice bir Monero kripto madencisi yerleştirdi. 2014 yılında piyasaya sürülen ve CryptoNote protokolü üzerine kurulu olan Monero, şu anda coin başına yaklaşık 330 $ seviyesinde işlem görüyor.

Bitcoin veya Ethereum gibi devlerle karşılaştırıldığında, Monero biraz daha sıra dışı ve genel kamuoyu tarafından daha az tanınan bir kripto para birimidir. Bu niş statü, nispeten mütevazı fiyat artışında ve Bitcoin’inkinden yaklaşık 200 kat daha düşük olan daha küçük piyasa değerinde kendini göstermektedir. Bununla birlikte, Monero’nun belirgin bir özelliği vardır: Gizlilik. Bitcoin ve Ethereum, herkesin işlemleri izleyebildiği tamamen şeffaf, halka açık blok zincirleri üzerinde çalışırken, Monero bir “gizlilik parasıdır”. Göndericiyi, alıcıyı ve işlem tutarlarını maskelemek için gelişmiş kriptografik mekanizmalar kullanır. Bu aşırı anonimlik, bilgisayar korsanlarının gizli Monero madencilerini sevme nedenidir; güvenlik güçlerinin ve siber güvenlik uzmanlarının para izini takip etmesini zorlaştırır.

Ayrıca, Monero’nun temel algoritması, özellikle standart bilgisayar işlemcilerini (CPU’lar) kullanarak verimli bir şekilde madencilik yapmak üzere tasarlanmıştır. Bu durum, kârlı olabilmek için özel ASIC donanımı veya üst düzey grafik kartları (GPU’lar) gerektiren diğer birçok popüler kripto parayla tam bir tezat oluşturmaktadır.

Ancak bunun Hola Browser ile nasıl gerçekleştiğine daha yakından bakalım. Araştırmacılar kötü niyetli me{.}exe kodunu incelediklerinde, kendi dosyalarını otomatik olarak Microsoft Defender istisna listesine eklediğini gördüler. Zararlı yazılım kendi kendini listeleyerek Windows’un yerleşik antivirüsünü başarılı bir şekilde körleştirmiş ve kripto madencisinin arka planda tamamen engelsiz çalışmasına izin vermişti.

Program içeri girdikten sonra HolaMonitorService{.}exe adında bir kopyasını oluşturdu ve hola_monitor_svc adında kalıcı bir Windows arka plan hizmeti kurdu. Bu manevra, zararlı yazılımın sisteme yerleşmesini ve bilgisayar her yeniden başlatıldığında otomatik olarak başlatılmasını sağladı. Ani büyük performans düşüşleri ile herhangi bir kırmızı bayrağa yol açmamak için, madenci hareketsiz kalacak şekilde programlandı ve yalnızca bilgisayar boştayken vitese geçti.

Cihazınızı kripto madencilerinden ve zararlı yazılımlardan nasıl korursunuz?

Hola’nın geliştirme ekibi, şüpheli dosyaya ilişkin ilk raporlara hızlı bir şekilde yanıt verdi. Tedarik zinciri ihlalini doğruladılar, ancak olayın kullanıcı tabanlarının yalnızca %0,1’ini etkilediğini belirttiler. Şirket o zamandan bu yana kullanıcıların yalnızca onaylı, sertifikalı ve dijital olarak imzalanmış yazılım bileşenlerini almalarını sağlamak için güncelleme dağıtım sürecindeki güvenliği artırdı.

Bu olay sonrasında tüm Hola Browser kullanıcılarının, özellikle de uygulamayı Windows üzerinde çalıştıranların, derhal en son sürüme güncelleme yapmalarını şiddetle tavsiye ediyoruz.

Daha genel olarak bu durum, tüm yazılımlarınızı güncel tutmanın ve tüm cihazlarınızda sağlam bir siber güvenlik çözümü kullanmanın neden bu kadar kritik olduğunu hatırlatan bir ders kitabı niteliğindedir. Örneğin, Kaspersky Premium şüpheli yazılım davranışları hakkında gerçek zamanlı uyarılar sağlar ve tehditleri anında engeller. Ek bir bonus olarak, Kaspersky Premium aboneliği güvenilir VPN içerir.

Unutmayın ki kötü niyetli kripto madencileri sadece bilgisayarları hedef almazlar; aynı zamanda akıllı telefonlara da yönelirler ve genellikle kendilerini popüler mobil oyunlardan resmi devlet hizmeti uygulamalarına kadar herhangi bir şey olarak kamufle edebilirler. Daha fazla bilgi edinmek için önceki yazılarımıza göz atabilirsiniz:

İpuçları

Her iki paroladan biri (neredeyse) bir dakikadan kısa sürede kırıldı

İki yıl önce ilk kez gerçekleştirdiğimiz, karanlık ağda sızdırılan gerçek hayattaki parolaların kırılabilirliğine ilişkin çalışmamızı yeniden ele aldık. Sonuçlar düşündürücü: Parolaların neredeyse yarısı bir dakikadan kısa sürede kırılabilirken, beş paroladan üçü bir saatten az sürede kırılıyor. Güvenli olmayan parolalardan nasıl kurtulabiliriz?