هکرها نسخه جدید کیت «برداشت ارز مجازی» را عرضه کردند

کمیته رکن چهارم – در حالی که نسخه‌های قدیمی کیت sundown از مکانیزم‌های ویژه به منظور پنهان‌سازی فعالیت‌های خرابکارانه در قالب فایل‌های تصویری استفاده می‌کردند در نسخه جدید از یک صفحه ساده جاوااسکریپت استفاده شده است.

به گزارش کمیته رکن چهارم،در کیت‌های قبلی از الگوی درهم‌سازی استفاده می‌شد ولی در نسخه جدید خبری از این تکنیک‌ها نیست. در حالی که این کیت بهره‌برداری روی سایت‌های مختلفی میزبانی می‌شود، اما آدرس IP‌ تمامی این سایت‌ها یکسان است. به همین دلیل کارشناسان شرکت MalwareBytes گفته‌اند که به نظر می‌رسد تنها یک نفر در ارتباط با این کیت مشغول به کار است و به همین دلیل تلاش آن‌چنانی به منظور پنهان‌سازی این کیت اکسپلویت از خود نشان نمی‌دهد.

الگوی رفتاری این کیت نشان می‌دهد زمانی که روی ماشین قربانی نصب می‌شود، سعی می‌کند خودش را در قالب یکی از فرآیندهای رایج ویندوز همچون Windows Backup به کاربر نشان دهد تا او را فریب دهد. در ادامه سعی می‌کند به اینترنت متصل شده و دستورالعمل‌های موردنیاز برای استخراج ارز را دانلود کند. داده‌هایی که دانلود می‌شوند در قالب فایل فشرده UPX دریافت می‌شوند. این برنامه با یک حساب کاربری در سایت Pastebin به نام LoveMonero و همچنین حساب کاربری با همین نام در گیت‌هاب در ارتباط است. هکر(ها) با استفاده از این ابزار تنها می‌توانند ارز مجازی Monero و نه بیت‌کوین را برداشت کنند. MalwareByte در این ارتباط گفته است: «انتخاب این ارز یک انتخاب هوشمندانه بوده است. به واسطه آن‌که مخزن مربوط به تراکنش‌های ارز مجازی بیت‌کوین بیشتر و بیشتر اشباع شده‌اند و همین موضوع استخراج آن‌ها را بیش از پیش سخت‌تر و پیچیده‌تر کرده است. اما در مقابل Monero ارز نوپایی است که در ابتدای راه خود قرار دارد.»

کدهای این کیت استخراج کننده در گیت‌هاب قرار گرفته‌اند. جالب آن‌که فایل‌های مربوط به این کیت استخراج کننده به طور پیوسته و منظم از سوی هکر(ها) به‌روزرسانی می‌شود. مخزنی که برای این کیت استخراج کننده در گیت‌هاب ساخته شده است حاوی لینک‌هایی است که به منظور اسکن و دانلود بدافزار مورد استفاده قرار می‌گیرند. پژوهشگران Malwarebytes اطلاع پیدا کرده‌اند که این پروژه بر مبنای یک پروژه متن‌باز برداشت ارزهای مجازی موسوم به ccminer-cryptonight پایه‌گذاری شده و تنها چند تغییر جزیی در اصل پروژه به وقوع پیوسته است.

Malwarebytes گفته است: «طراحی این کیت کاملا عجیب است. به دلیل این‌که کاملا غیر حرفه‌ای بوده و ردپاهای زیادی از طراح و حساب کاربری او در گیت‌هاب وجود دارد. همین موضوع نشان می‌دهد که طراح این بدافزار یک فرد مبتدی بوده است. با توجه به این‌که چند وقتی است سورس کدهای مربوط به بدافزارها و باج‌افزارهای معروفی همچون ابزار پیاده‌سازی حمله توزیع شده (Mirai) و ابزار باج‌افزارنویسی همچون HiddenTear و Eda2 به طور عمومی در دسترس همه کاربران قرار گرفته است، ما هر روزه شاهد آن هستیم که هر کاربر مبتدی تصمیم می‌گیرد این کدها را دانلود کرده و فرآیند بدافزارنویسی را آزمایش کند.»

منبع:رسانه خبری امنیت اطلاعات

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.