WebCobra بدافزاری که بدون کوچکترین آگاهی، از سیستم کاربر برای استخراج بیت کوین استفاده می‌کند

توضیحات: وحید علی‌محمدی; دسته: امنیت; 24 آبان 1397 09:30

به تازگی مرکز تحقیقات موسسه امنیتی McAfee بدافزار استخراج ارز دیجیتالی را کشف کرده که در عین هوشمند بود می‌تواند بسیار بی سر و صدا روی کامپیوترها نصب شود. Webcobra عملکرد بسیار ساده‌ای دارد و با شناسایی صحیح معماری سیستم کاربر از منابع آن برای اهداف پردازشی خود استفاده می‌کند.

مرکز مدیریت راهبردی افتای ریاست جمهوری با اعلام خبر کشف بدافزار جدید کاوش ارز دیجیتال، نسبت به سوءاستفاده این نرم افزار مخرب از قدرت پردازشگر سیستم کامپیوتری قربانیان هشدار داد. به طور کلی شناسایی بدافزارهای کاوشگر ارز دیجیتالی دشوار است. هنگامی که یک دستگاه در معرض این‌گونه بدافزارها قرار می‌گیرد، یک برنامه مخرب در پس زمینه اجرا می‌شود و مصرف انرژی را افزایش می‌دهد که در نتیجه سرعت و عملکرد دستگاه کاهش می یابد.

از آنجایی که دلیل گرایش مجرمین سایبری به چنین بدافزارهایی، افزایش قیمت ارزهای دیجیتال عنوان شده است به تازگی آزمایشگاه مک آفی ( McAfee ) بدافزار جدیدی با نام WebCobra را کشف کرده که از قدرت پردازش سیستم قربانیان برای کاوش ارز دیجیتالی استفاده می‌کند.

به گزارش مهر مرکز راهبردی افتای ریاست جمهوری در این باره اعلام کرد که « بدافزار WebCobra بسته به نوع معماری که تشخیص دهد، به صورت مخفیانه کاوشگر Cryptonight یا Claymore’s Zcash را نصب می‌کند. دامنه آلودگی این بدافزار در سراسر جهان در روزهای ۱۸ الی ۲۲ شهریور بوده و بیشترین آلودگی‌ها مربوط به کشورهای برزیل، افریقای جنوبی و ایالات متحده است.»

در نمودار زیر تعداد نمونه‌های بدافزار کاوش ارز Monero مشاهده شده به همراه تغییرات قیمت این ارز نمایش داده شده است.

دراپر اصلی (یا منتقل کننده بدافزار) این بدافزار یک نصب کننده یا installer مایکروسافت است که محیط سیستم را بررسی می‌کند. به نحوی که در سیستم‌های x۸۶ کاوشگر Cryptonight نصب می‌شود و در سیستم‌های x۶۴ کاوشگر Claymore’s Zcash از یک سرور راه دور بارگیری و نصب می‌شود. پس از آن در ادامه یک فایل CAB در سیستم بارگذاری می‌شود که حاوی بدنه bin و یک فایل DLL برای رمزگشایی بدنه است.

بدنه بدافزار دارای قابلیت‌های ضد دیباگ، ضد شبیه‌سازی و ضد محیط‌های سندباکس است و از این رو، برای مدت طولانی به صورت ناشناخته در سیستم باقی می‌ماند.
در سیستم‌های x۸۶ بدافزار به فرایند پردازشی svchost.exe نفوذ می‌کند و فرایند کاوش ارز را انجام می‌دهد. اما در سیستم‌های x۶۴، تنها در صورتی فرایند کاوش ارز انجام می‌شود که Wireshark در سیستم شناسایی نشود و پردازنده گرافیکی قربانی یکی از سه مدل Radeon، Nvidia و Asus باشد.