مركز افتا خبر داد؛
بدافزار جدید ارز دیجیتال كشف شد، استخراج ارز با پردازشگر قربانیان
توسعه نرم افزار: مركز مدیریت راهبردی افتای ریاست جمهوری با بیان خبر كشف بدافزار جدید كاوش ارز دیجیتال، نسبت به سوءاستفاده این نرم افزار مخرب از قدرت پردازشگر سیستم كامپیوتری قربانیان اخطار داد.
به گزارش توسعه نرم افزار به نقل از مهر، به صورت كلی شناسایی بدافزارهای كاوشگر ارز دیجیتالی دشوار است. هنگامی كه یك دستگاه در معرض این گونه بدافزارها قرار می گیرد، یك برنامه مخرب در پس زمینه اجرا می گردد و مصرف انرژی را زیاد می كند كه در نتیجه سرعت و عملكرد دستگاه كاسته می شود.از آنجایی كه دلیل گرایش مجرمین سایبری به چنین بدافزارهایی، افزایش قیمت ارزهای دیجیتال عنوان شده است اخیرا آزمایشگاه مك آفی ( McAfee ) بدافزار جدیدی با نام WebCobra را كشف كرده كه از قدرت پردازش سیستم قربانیان برای كاوش ارز دیجیتالی استفاده می نماید.مركز راهبردی افتای ریاست جمهوری در این باره اعلام نمود كه « بدافزار WebCobra بسته به نوع معماری كه تشخیص دهد، به صورت مخفیانه كاوشگر Cryptonight یا Claymore’s Zcash را نصب می كند. دامنه آلودگی این بدافزار در سراسر جهان در ایام ۱۸ الی ۲۲ شهریور بوده و بیشترین آلودگی ها مربوط به كشورهای برزیل، افریقای جنوبی و ایالات متحده است.»در نمودار زیر تعداد نمونه های بدافزار كاوش ارز Monero مشاهده شده به همراه تغییرات قیمت این ارز نمایش داده شده است.
دراپر اصلی (یا منتقل كننده بدافزار) این بدافزار یك نصب كننده یا installer مایكروسافت است كه محیط سیستم را بررسی می كند. به نحوی كه در سیستم های x۸۶ كاوشگر Cryptonight نصب می گردد و در سیستم های x۶۴ كاوشگر Claymore’s Zcash از یك سرور راه دور بارگیری و نصب می گردد. بعد از آن در ادامه یك فایل CAB در سیستم بارگذاری می گردد كه حاوی بدنه bin و یك فایل DLL برای رمزگشایی بدنه است.بدنه بدافزار دارای قابلیت های ضد دیباگ، ضد شبیه سازی و ضد محیط های سندباكس است و از این رو، برای مدت طولانی به صورت ناشناخته در سیستم باقی می ماند.
در سیستم های x۸۶ بدافزار به فرایند پردازشی svchost.exe نفوذ می كند و فرایند كاوش ارز را انجام می دهد. اما در سیستم های x۶۴، تنها در صورتی فرایند كاوش ارز انجام می گردد كه Wireshark در سیستم شناسایی نشود و پردازنده گرافیكی قربانی یكی از سه مدل Radeon، Nvidia و Asus باشد.
نشانه های آلودگی:
آدرس های آی پی: ۱۴۹، ۲۴۹.۱۳: ۲۲۲۴
۱۴۹، ۲۵۴.۱۷۰: ۲۲۲۳
۳۱، ۹۲.۲۱۲دامنه ها:
fee.xmrig.com
fee.xmrig.com
ru
zec.slushpool.comهش ها (SHA-۲۵۶): ۵E۱۴۴۷۸۹۳۱E۳۱CF۸۰۴E۰۸A۰۹E۸DFFD۰۹۱DB۹ABD۶۸۴۹۲۶۷۹۲DBEBEA۹B۸۲۷C۹F۳۷
۲ED۸۴۴۸A۸۳۳D۵BBE۷۲E۶۶۷A۴CB۳۱۱A۸۸F۹۴۱۴۳AA۷۷C۵۵FBDBD۳۶EE۲۳۵E۲D۹۴۲۳
F۴ED۵C۰۳۷۶۶۹۰۵F۸۲۰۶AA۳۱۳۰C۰CDEDEC۲۴B۳۶AF۴۷C۲CE۲۱۲۰۳۶D۶F۹۰۴۵۶۹۳۵۰
۱BDFF۱F۰۶۸EB۶۱۹۸۰۳ECD۶۵C۴ACB۲C۷۴۲۷۱۸B۰EE۲F۴۶۲DF۷۹۵۲۰۸EA۹۱۳F۳۳۵۳B
D۴۰۰۳E۶۹۷۸BCFEF۴۴FDA۳CB۱۳D۶۱۸EC۸۹BF۹۳DEBB۷۵C۰۴۴۰C۳AC۴C۱ED۲۴۷۲۷۴۲
۰۶AD۹DDC۹۲۸۶۹E۹۸۹C۱DF۸E۹۹۱B۱BD۱۸FB۴۷BCEB۸ECC۹۸۰۶۷۵۶۴۹۳BA۳A۱A۱۷D۶
۶۱۵BFE۵A۸AE۷E۰۸۶۲A۰۳D۱۸۳E۶۶۱C۴۰A۱D۳D۴۴۷EDDABF۱۶۴FC۵E۶D۴D۱۸۳۷۹۶E۰
F۳۱۲۸۵AE۷۰۵FF۶۰۰۰۷BF۴۸AEFBC۷AC۷۵A۳EA۵۰۷C۲E۷۶B۰۱BA۵F۴۷۸۰۷۶FA۵D۱B۳
AA۰DBF۷۷D۵AA۹۸۵EEA۵۲DDDA۵۲۲۵۴۴CA۰۱۶۹DCA۴AB۸FB۵۱۴۱ED۲BDD۲A۵EC۱۶CE
مطلب توسعه نرم افزار را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط در DevSoft
نظرات بینندگان DevSoft در مورد این مطلب