گسترش بدافزار «کاوشگر ارز دیجیتالی»
اخیراً یک کاوشگر ارز دیجیتالی نوشته شده به زبان پایتون و با نام PyRoMine، در حال گسترش در سیستمهای ویندوزی است. این کاوشگر که ارز Monero را استخراج میکند، مشابه سایر کاوشگرها عمل میکند.
خبرگزاری مهر: مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری نسبت به گسترش بدافزار «کاوشگر ارز دیجیتالی» هشدار داد.
اخیراً یک کاوشگر ارز دیجیتالی نوشته شده به زبان پایتون و با نام PyRoMine، در حال گسترش در سیستمهای ویندوزی است. این کاوشگر که ارز Monero را استخراج میکند، مشابه سایر کاوشگرها عمل میکند.
این بدافزار از یکی از کدهای اکسپلویت NSA (آژانس امنیت ملی امریکا) به نام EternalRomance برای انتشار خود استفاده میکند.
این کد اکسپلویت مربوط به یکی از ابزارهای نفوذ گروه هک ShadowBrokers است که در ماه آوریل سال گذشته در اختیار عموم قرار گرفت. این کد پس از انتشار عمومی، سال گذشته در حمله باجافزار BadRabbit مورد استفاده قرار گرفت. از سوی دیگر در اوایل سال جاری، EternalRomance و دو اکسپلویت دیگر (EternalSynergy و EternalChampion) در چارچوب Metasploit قرار گرفتند. بنابراین این اکسپلویتها میتوانند تمامی نسخههای ویندوز شامل ویندوز ۲۰۰۰ به بعد را هدف قرار دهند.
بدافزار PyRoMine از طریق یک فایل Zip منتشر میشود که حاوی یک فایل اجرایی است. این کاوشگر از نسخه ویرایش شده EternalRomance استفاده میکند. زمانی که PyRoMine اجرا شود، آدرسهای IP محلی را استخراج کرده و آلودگی خود را به سایر زیرشبکهها گسترش دهد.
نحوه عملکرد این بدافزار به این صورت است که پس از نفوذ این بدافزار به سیستم، یک اسکریپت VB در سیستم دانلود میشود که عملیات کاوش ارز را انجام میدهد. این اسکریپت یک حساب کاربری مدیریتی در سیستم ایجاد میکند تا از طریق آن پروتکل Remote Desktop را فعال کند و یک قانون فایروال برای باز کردن ترافیک پورت ۳۳۸۹ ایجاد کند. همچنین این اسکریپت سرویس به روزرسانی ویندوز را غیرفعال کرده و با اعمال سایر تنظیمات در سرویس مدیریت از راه دور ویندوز، سیستم را برای حملات آتی آماده میکند.
PyRoMine اولین کاوشگر ارزی نیست که از اکسپلویتهای NSA برای گسترش استفاده میکند، امّا این بدافزار سیستم را به گونهای پیکربندی میکند تا در معرض حملات بیشتر و پیچیدهتری قرار گیرد.
اکسپلویتهای NSA قبلاً توسط NotPetya، WannaCry، Adylkuzz و Retefe بکار رفتهاند ولی استفاده از این اکسپلویتها توسط بدافزارهایی نظیر Smominru، WannaMine و PyRoMine نشان میدهد که استفاده از این اکسپلویتها توسط کاوشگران ارز نیز مورد توجه قرار گرفته است.
برای جلوگیری از آلودگی احتمالی، پیشنهاد میشود تا هر چه سریعتر سیستمهای ویندوزی خود را بروزرسانی کنید.
ارسال نظر