Bir Japon siber güvenlik şirketi olan Trend Micro, popüler dijital para birimi Monero‘nun madenciliğini yapmak için Facebook Messenger’ı kullanan kötü amaçlı bir kripto para madenciliği yazılımı keşfetti. İşin en ürkütücü kısmı, eğer bu virüse bulaşmışsanız muhtemelen farkında bile değilsiniz.
Trend Micro’daki güvenlik araştırmacıları, yeni madencilik botuna “Digimine” adını verdi. Şirkete göre bot ilk önce Güney Kore’de çıktı ve Vietnam, Azerbaycan, Ukrayna, Filipinler, Tayland ve Venezuela’yı gezdi. Araştırmacılar, bu kötü amaçlı yazılımın şimdilik bu ülkelerin ötesine geçemediğini ancak diğer ülkelere ulaşmasının uzun sürmeyebileceğini belirtti.
Digimine nedir ve nasıl çalışır?
Digimine, Autolt programlama dili kullanılarak programlanmış.
Kötü amaçlı yazılım, madencilik botunu gerçekte bir Autolt komut dosyası olan bir video dosyası olarak gizliyor. Kullanıcı, kötü niyetli bağlantıya tıkladığı anda bot bilgisayara indiriliyor. Daha sonra ise bu bot madenci yönetim bileşeni olan codex.exe’yi indiriyor. Kötü amaçlı yazılım ardından C&C sunucusuyla iletişime geçtiyor ve kurbanın Facebook hesabını kontrol altına almak için ihtiyaç duyduğu madenci ve yapılandırma dosyalarını indiriyor. Yazılım, bunun ardından ise özellikle Facebook Messenger kullanıcılarını hedefleyen bir Chrome uzantısı yüklüyor. Sonra ya bir video oynatan ya da Facebook’a giriş yapmaya devam eden sahte bir sayfa yüklüyor.
Trend Micro araştırmacıları, etkilenen bir Facebook hesabı eğer otomatik olarak oturum açmak üzere yapılandırıldıysa Digimine’ın Facebook arkadaşlarına bağlantı gönderme potansiyeline sahip olduğunu da keşfetti. Ayrıca bu kötü amaçlı yazılım, kullanıcının bilgisayarını yavaşlatabiliyor.
Digimine, şu anda sadece Facebook Messenger’ın masaüstü sürümünde çalışıyor.
Digimine’dan korunmanın yolu güncel bir antivirüs programını kullanmanın yanı sıra şüpheli bağlantılara ve videolara tıklamamaktan geçiyor.