به تازگی مرکز تحقیقات موسسه امنیتی McAfee بدافزار استخراج ارز دیجیتالی را کشف کرده که در عین هوشمند بود میتواند بسیار بی سر و صدا روی کامپیوترها نصب شود. Webcobra عملکرد بسیار سادهای دارد و با شناسایی صحیح معماری سیستم کاربر از منابع آن برای اهداف پردازشی خود استفاده میکند.
مرکز مدیریت راهبردی افتای ریاست جمهوری با اعلام خبر کشف بدافزار جدید کاوش ارز دیجیتال، نسبت به سوءاستفاده این نرم افزار مخرب از قدرت پردازشگر سیستم کامپیوتری قربانیان هشدار داد. به طور کلی شناسایی بدافزارهای کاوشگر ارز دیجیتالی دشوار است. هنگامی که یک دستگاه در معرض اینگونه بدافزارها قرار میگیرد، یک برنامه مخرب در پس زمینه اجرا میشود و مصرف انرژی را افزایش میدهد که در نتیجه سرعت و عملکرد دستگاه کاهش می یابد.
از آنجایی که دلیل گرایش مجرمین سایبری به چنین بدافزارهایی، افزایش قیمت ارزهای دیجیتال عنوان شده است به تازگی آزمایشگاه مک آفی ( McAfee ) بدافزار جدیدی با نام WebCobra را کشف کرده که از قدرت پردازش سیستم قربانیان برای کاوش ارز دیجیتالی استفاده میکند.
به گزارش مهر مرکز راهبردی افتای ریاست جمهوری در این باره اعلام کرد که « بدافزار WebCobra بسته به نوع معماری که تشخیص دهد، به صورت مخفیانه کاوشگر Cryptonight یا Claymore’s Zcash را نصب میکند. دامنه آلودگی این بدافزار در سراسر جهان در روزهای ۱۸ الی ۲۲ شهریور بوده و بیشترین آلودگیها مربوط به کشورهای برزیل، افریقای جنوبی و ایالات متحده است.»
در نمودار زیر تعداد نمونههای بدافزار کاوش ارز Monero مشاهده شده به همراه تغییرات قیمت این ارز نمایش داده شده است.
دراپر اصلی (یا منتقل کننده بدافزار) این بدافزار یک نصب کننده یا installer مایکروسافت است که محیط سیستم را بررسی میکند. به نحوی که در سیستمهای x۸۶ کاوشگر Cryptonight نصب میشود و در سیستمهای x۶۴ کاوشگر Claymore’s Zcash از یک سرور راه دور بارگیری و نصب میشود. پس از آن در ادامه یک فایل CAB در سیستم بارگذاری میشود که حاوی بدنه bin و یک فایل DLL برای رمزگشایی بدنه است.
بدنه بدافزار دارای قابلیتهای ضد دیباگ، ضد شبیهسازی و ضد محیطهای سندباکس است و از این رو، برای مدت طولانی به صورت ناشناخته در سیستم باقی میماند.
در سیستمهای x۸۶ بدافزار به فرایند پردازشی svchost.exe نفوذ میکند و فرایند کاوش ارز را انجام میدهد. اما در سیستمهای x۶۴، تنها در صورتی فرایند کاوش ارز انجام میشود که Wireshark در سیستم شناسایی نشود و پردازنده گرافیکی قربانی یکی از سه مدل Radeon، Nvidia و Asus باشد.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت