BOINC Kötü Amaçlı Yazılım

Cihazları kötü amaçlı yazılım tehditlerinden korumak, hem güvenliği hem de işlevselliği korumak açısından çok önemlidir. Son zamanlarda siber suçlular, dağıtılmış bilgi işlem projeleri için meşru bir yardımcı program olan BOINC'den (Ağ Bilişimi için Berkeley Açık Altyapısı) virüslü sistemler üzerinde tehdit edici faaliyetler yürütmek için yararlandı. Bunun BOINC'in kendisinde bulunan bir güvenlik açığı olmadığını unutmayın; bunun yerine, kötü amaçlı yazılım, işlemlerini gerçekleştirmek için BOINC'i yasa dışı olarak yüklüyor.

Kurulum ve Yürütme

Kötü amaçlı yazılım, BOINC'i üçüncü taraf bir veri kullanarak izinsiz olarak kullanıcıların cihazlarına yüklüyor. Bu yöntem tipik kurulum süreçlerini atlayarak BOINC'in gizlice kurulmasını sağlar. Kullanılan ikili dosyalar doğrudan resmi BOINC yükleyicisi 8.0.2'den alınır, ancak yükleyicinin kendisi doğrudan kurulum sürecinde kullanılmaz.

Tehdit Operasyonları

Kötü amaçlı yazılım, yüklemenin ardından birkaç güvenli olmayan etkinlik başlatır:

• Gizli Windows Kullanıcısının Oluşturulması : Gizli bir Windows kullanıcısının oluşturulduğuna dair onaylanmamış raporlar var ve bu, potansiyel olarak daha fazla yetkisiz erişimi kolaylaştırabilir.
• Hizmet Kurulumu : Zararlı yazılım, etkilenen sistemlere hizmet olarak yüklenir, ancak hizmet adı gibi belirli ayrıntılar şu anda açıklanmamıştır.
• Dosya Dağıtımı : BOINC'in birden fazla kopyası 'C:\USERNAME\AppData\Roaming' klasörüne ve onun alt klasörlerine indirilerek varlığını sistem geneline yayar.
• Yürütülebilir Dosyanın Yeniden Adlandırılması : BOINC istemci yürütülebilir dosyaları '.exe', 'gupdate.exe', 'SecurityHealthService.exe' ve 'trustedinstaller.exe' gibi ortak sistem işlem adlarıyla yeniden adlandırılır. Bu kılık değiştirme, tespit edilmekten kaçınmayı ve meşru süreçlere karışmayı amaçlamaktadır.
• Sahte Sunucu Oluşturulması : Meşru Rosetta@home sunucusuna benzeyen sahte bir BOINC sunucusu rapor edildi. Her ne kadar güvenlik nedenleriyle adı açıklanmasa da, bu sunucu potansiyel olarak kullanıcıları aldatmak ve yetkisiz eylemler gerçekleştirmek için meşru bir projeyi taklit ediyor.

Dağıtım ve Etki

Bu kötü amaçlı yazılımın dağıtım yöntemi hala belirsizliğini koruyor; kurbanlar, bunun halka açık Wi-Fi ağlarına bağlantılarla bağlantılı olabileceğini düşünüyor. Sahte proje sunucusunun bildirdiğine göre kampanyanın özellikle ABD'deki kullanıcıları hedef aldığı ve yaklaşık 7.000 Windows cihazını etkilediği görülüyor.

Etki Azaltma ve Kaldırma Önerileri

Araştırmacılar bu kötü amaçlı yazılımın etkisini azaltmak için aşağıdaki adımları öneriyor:

• Görev Zamanlayıcı Temizleme : Görev Zamanlayıcı'da 'Dolaşım' klasöründen kod çalıştıran tüm girişleri kontrol edin ve kaldırın. Bu girişler, Mozilla veya Google güncellemeleri gibi yasal işlemlermiş gibi görünebilir veya yalnızca bir alt çizgi ve ardından gelen rakamlardan oluşabilir.
• Dosya Silme : 'Dolaşım' klasöründe ve alt klasörlerinde saklanan tüm istenmeyen dosyaları silin. Güvenli olmayan tüm dosyaların güvenli bir şekilde silinebilmesini sağlamak için kullanıcıların 'Görev Yöneticisi'ni kullanarak işlemleri sonlandırmaları gerekebilir.

Kullanıcılar, bu önlemleri alarak ve şüpheli etkinliklere ve kurulumlara karşı tetikte kalarak, cihazlarının BOINC kötü amaçlı yazılımı gibi tehdit edici yazılımların etkilerinden korunmasına yardımcı olabilir.