گوناگون

کشف بدافزار جدید ارز دیجیتال

کشف بدافزار جدید ارز دیجیتال

پارسینه: مرکز مدیریت راهبردی افتای ریاست جمهوری با اعلام خبر کشف بدافزار جدید کاوش ارز دیجیتال، نسبت به سوءاستفاده این نرم افزار مخرب از قدرت پردازشگر سیستم کامپیوتری قربانیان هشدار داد.

به طور کلی شناسایی بدافزار‌های کاوشگر ارز دیجیتالی دشوار است. هنگامی که یک دستگاه در معرض این‌گونه بدافزار‌ها قرار می‌گیرد، یک برنامه مخرب در پس زمینه اجرا می‌شود و مصرف انرژی را افزایش می‌دهد که در نتیجه سرعت و عملکرد دستگاه کاهش می‌یابد.

از آنجایی که دلیل گرایش مجرمین سایبری به چنین بدافزارهایی، افزایش قیمت ارز‌های دیجیتال عنوان شده است به تازگی آزمایشگاه مک آفی (McAfee) بدافزار جدیدی با نام WebCobra را کشف کرده که از قدرت پردازش سیستم قربانیان برای کاوش ارز دیجیتالی استفاده می‌کند.

مرکز راهبردی افتای ریاست جمهوری در این باره اعلام کرد که «بدافزار WebCobra بسته به نوع معماری که تشخیص دهد، به صورت مخفیانه کاوشگر Cryptonight یا Claymore's Zcash را نصب می‌کند. دامنه آلودگی این بدافزار در سراسر جهان در روز‌های ۱۸ الی ۲۲ شهریور بوده و بیشترین آلودگی‌ها مربوط به کشور‌های برزیل، افریقای جنوبی و ایالات متحده است.»

در نمودار زیر تعداد نمونه‌های بدافزار کاوش ارز Monero مشاهده شده به همراه تغییرات قیمت این ارز نمایش داده شده است.
کشف بدافزار جدید ارز دیجیتال

دراپر اصلی (یا منتقل کننده بدافزار) این بدافزار یک نصب کننده یا installer مایکروسافت است که محیط سیستم را بررسی می‌کند. به نحوی که در سیستم‌های x. ۸۶ کاوشگر Cryptonight نصب می‌شود و در سیستم‌های x. ۶۴ کاوشگر Claymore's Zcash از یک سرور راه دور بارگیری و نصب می‌شود. پس از آن در ادامه یک فایل CAB در سیستم بارگذاری می‌شود که حاوی بدنه bin و یک فایل DLL برای رمزگشایی بدنه است.

بدنه بدافزار دارای قابلیت‌های ضد دیباگ، ضد شبیه‌سازی و ضد محیط‌های سندباکس است و از این رو، برای مدت طولانی به صورت ناشناخته در سیستم باقی می‌ماند.

در سیستم‌های x. ۸۶ بدافزار به فرایند پردازشی svchost.exe نفوذ می‌کند و فرایند کاوش ارز را انجام می‌دهد. اما در سیستم‌های x. ۶۴، تنها در صورتی فرایند کاوش ارز انجام می‌شود که Wireshark در سیستم شناسایی نشود و پردازنده گرافیکی قربانی یکی از سه مدل Radeon، Nvidia و Asus باشد.
کشف بدافزار جدید ارز دیجیتال

نشانه‌های آلودگی:
آدرس‌های آی‌پی:

۱۴۹،۲۴۹.۱۳:۲۲۲۴،
۱۴۹،۲۵۴.۱۷۰:۲۲۲۳،
۳۱،۹۲.۲۱۲

دامنه‌ها:
fee.xmrig.com
fee.xmrig.com
ru
zec.slushpool.com

هش‌ها (SHA-۲۵۶):

۵ E. ۱۴۴۷۸۹۳۱ E. ۳۱ CF ۸۰۴ E. ۰۸ A. ۰۹ E. ۸ DFFD ۰۹۱ DB ۹ ABD ۶۸۴۹۲۶۷۹۲ DBEBEA ۹ B. ۸۲۷ C. ۹ F. ۳۷،
۲ ED ۸۴۴۸ A. ۸۳۳ D. ۵ BBE ۷۲ E. ۶۶۷ A. ۴ CB ۳۱۱ A. ۸۸ F. ۹۴۱۴۳ AA ۷۷ C. ۵۵ FBDBD ۳۶ EE ۲۳۵ E. ۲ D. ۹۴۲۳
F. ۴ ED ۵ C. ۰۳۷۶۶۹۰۵ F. ۸۲۰۶ AA ۳۱۳۰ C. ۰ CDEDEC ۲۴ B. ۳۶ AF ۴۷ C. ۲ CE ۲۱۲۰۳۶ D. ۶ F. ۹۰۴۵۶۹۳۵۰،
۱ BDFF ۱ F. ۰۶۸ EB ۶۱۹۸۰۳ ECD ۶۵ C. ۴ ACB ۲ C. ۷۴۲۷۱۸ B. ۰ EE ۲ F. ۴۶۲ DF ۷۹۵۲۰۸ EA ۹۱۳ F. ۳۳۵۳ B. D. ۴۰۰۳ E. ۶۹۷۸ BCFEF ۴۴ FDA ۳ CB ۱۳ D. ۶۱۸ EC ۸۹ BF ۹۳ DEBB ۷۵ C. ۰۴۴۰ C. ۳ AC ۴ C. ۱ ED ۲۴۷۲۷۴۲،
۰۶ AD ۹ DDC ۹۲۸۶۹ E. ۹۸۹ C. ۱ DF ۸ E. ۹۹۱ B. ۱ BD ۱۸ FB ۴۷ BCEB ۸ ECC ۹۸۰۶۷۵۶۴۹۳ BA ۳ A. ۱ A. ۱۷ D. ۶،
۶۱۵ BFE ۵ A. ۸ AE ۷ E. ۰۸۶۲ A. ۰۳ D. ۱۸۳ E. ۶۶۱ C. ۴۰ A. ۱ D. ۳ D. ۴۴۷ EDDABF ۱۶۴ FC ۵ E. ۶ D. ۴ D. ۱۸۳۷۹۶ E. ۰
F. ۳۱۲۸۵ AE ۷۰۵ FF ۶۰۰۰۷ BF ۴۸ AEFBC ۷ AC ۷۵ A. ۳ EA ۵۰۷ C. ۲ E. ۷۶ B. ۰۱ BA ۵ F. ۴۷۸۰۷۶ FA ۵ D. ۱ B. ۳
AA ۰ DBF ۷۷ D. ۵ AA ۹۸۵ EEA ۵۲ DDDA ۵۲۲۵۴۴ CA ۰۱۶۹ DCA ۴ AB ۸ FB ۵۱۴۱ ED ۲ BDD ۲ A. ۵ EC ۱۶ CE
منبع: خبرگزاری مهر

ارسال نظر

نمای روز

داغ

صفحه خبر - وب گردی

آخرین اخبار