ابزارهای ویندوزی که توسط هکرها هدف قرار گرفته اند، بدافزار استخراج رمزارز را مستقر می کنند

آخرین به روز رسانی: ۱۶ شهریور ۱۴۰۲

۰ 2,003 خواندن این مطلب 2 دقیقه زمان میبرد

ابزارهای ویندوزی که توسط هکرها هدف قرار گرفته اند، بدافزار استخراج رمزارز را مستقر می کنند

نصب‌کننده‌های نرم‌افزار آسیب‌دیده عمدتاً برای مدل‌سازی سه‌بعدی و طراحی گرافیکی استفاده می‌شوند و زبان فرانسوی بیشترین استفاده را در کمپین‌های بدافزار دارد.

بر اساس تجزیه و تحلیل Talos Intelligence سیسکو، هکرها از نوامبر ۲۰۲۱ از ابزارهای ویندوز برای حذف بدافزار استخراج ارز دیجیتال استفاده می کنند. مهاجمان از Windows Advanced Installer سوء استفاده می کنند، برنامه ای که به توسعه دهندگان کمک می کند تا نصب کننده های نرم افزار دیگر مانند Adobe Illustrator را بسته بندی کنند تا اسکریپت های مخرب را روی ماشین های آلوده اجرا کنند.

طبق یک پست وبلاگ در ۷ سپتامبر، نصب‌کننده‌های نرم‌افزاری که تحت تأثیر این حمله قرار گرفته‌اند، عمدتاً برای مدل‌سازی سه بعدی و طراحی گرافیکی استفاده می‌شوند. علاوه بر این، اکثر نصب‌کننده‌های نرم‌افزار مورد استفاده در کمپین بدافزار به زبان فرانسوی نوشته شده‌اند. یافته‌ها نشان می‌دهد که «قربانیان احتمالاً در صنایعی مانند معماری، مهندسی، ساخت‌وساز، تولید و سرگرمی در کشورهای عمدتاً فرانسوی‌زبان فعالیت می‌کنند».

این حمله عمدتاً بر کاربران فرانسه و سوئیس تأثیر گذاشت و تعداد کمی از موارد در کشورهای دیگر از جمله ایالات متحده، کانادا، الجزایر، سوئد، آلمان، تونس، ماداگاسکار، سنگاپور و ویتنام گزارش شده است. سوابق بر اساس داده های درخواست DNS ارسال شده به DNS. میزبان فرمان و کنترل مهاجم (C2).

کمپین‌های استخراج غیرقانونی کریپتو که توسط Talos شناسایی شده‌اند شامل استقرار اسکریپت‌های دسته‌ای پاورشل و ویندوز برای اجرای دستورات و ایجاد درب‌های پشتی در ماشین‌های قربانی است. پاورشل به طور خاص در حافظه سیستم به جای روی هارد دیسک اجرا می شود و شناسایی حملات را بسیار دشوار می کند.

نمونه ای از نصب کننده نرم افزار با یک اسکریپت مخرب بسته بندی شده با استفاده از Advanced Installer. منبع: تالوس اینتلیجنس.

هنگامی که درب پشتی نصب شد، مهاجم تهدیدهای دیگری مانند برنامه استخراج ارز دیجیتال اتریوم PhoenixMiner و تهدید استخراج چند سکه lolMiner را اجرا می کند.

“این اسکریپت های مخرب با استفاده از ویژگی اقدام سفارشی Advanced Installer اجرا می شوند، که به کاربران اجازه می دهد وظایف نصب سفارشی را از پیش تعریف کنند. بار نهایی یک ماینر عمومی به نام PhoenixMiner است که به قابلیت های GPU کامپیوتر متکی است. و lolMiner.”

استفاده از بدافزار cryptomining به عنوان cryptojacking شناخته می‌شود و شامل نصب کدهای استخراج رمزنگاری بر روی یک دستگاه بدون اطلاع یا اجازه کاربر به منظور استخراج غیرقانونی ارزهای دیجیتال است. نشانه‌هایی که نشان می‌دهند بدافزار استخراج ممکن است روی دستگاه شما در حال اجرا باشد عبارتند از داغ شدن بیش از حد دستگاه یا عملکرد کند.

استفاده از خانواده‌های بدافزار برای ربودن دستگاه‌ها به منظور استخراج یا سرقت ارزهای رمزنگاری شده، روش جدیدی نیست. غول پیشین گوشی‌های هوشمند بلک‌بری اخیراً اسکریپت‌های بدافزاری را شناسایی کرده است که حداقل سه بخش از جمله خدمات مالی، مراقبت‌های بهداشتی و دولتی را هدف قرار می‌دهند.

مجله: “مسئولیت اخلاقی” – آیا بلاک چین واقعاً می تواند اعتماد به هوش مصنوعی را افزایش دهد؟

نویسنده: Ana Paula Pereira