bad afzar

پنهان‌سازی بدافزار ارز کاوی در قالب فایل‌های اصلی ویندوز

۱۳۹۷-۰۸-۲۰

پنهان‌سازی بدافزار ارز کاوی در قالب فایل‌های اصلی ویندوز

روش های مورد استفاده هکرها برای استخراج غیرقانونی ارزهای مجازی روزبه روز در حال پیچیده تر شدن است و حالا آنها بدافزارها را در قالب پکیج های قانونی نصب ویندوز جا می زنند.

محققان کمپانی «ترند میکرو» اخیرا دریافته اند که بدافزاری به نام  Coinminer تعداد زیادی از کاربران را هدف ارزکاوی مخفیانه قرار داده است. آنچه که شناسایی این حمله را پیچیده تر می سازد استفاده Coinminer از روش های پنهانکاری خاص است.

بر اساس این گزارش بدافزار مورد بحث به عنوان فایل MSI نصب کننده (اینستالر) ویندوز وارد سیستم قربانی می شود و این امر اهمیت بالایی دارد چرا که ویندوز اینستالر یکی از مهم ترین فایل های ویندوز است که برای نصب نرم افزار مورد استفاده قرار می گیرد. استفاده از اجزای اصلی ویندوز شک ها را از Coinminer دور کرده و به صورت بالقوه امکان عبور از فیلترهای امنیتی خاص را به آن می دهد.

Bitcoin

تردستی های هکرها به اینجا ختم نمی شود و پس از نصب Coinminer برخی اسکریپت های آن مانع اجرای فرایندهای شناسایی و حذف بدافزارها می شوند. علاوه بر این هکرها برای جلوگیری از هرگونه ردیابی احتمالی تجزیه و تحلیل توسط محققان امنیتی سازوکار خود تخریبی را در این بدافزار عجیب تعبیه کرده اند.این سازوکار پس از فعال شدن تمام فایلهای موجود در دایرکتوری نصب را پاکسازی می کند.

اگرچه کارشناسان ترند میکرو نتوانسته اند منشا حملات را به کشور خاصی ربط دهند اما با بررسی فایل ها متوجه استفاده از الفبای سیریلیک شده اند که در روسیه و بلغارستان و اوکراین کاربرد دارد.

سال گذشته و همزمان با افزایش چشمگیر بهای ارزهای مجازی کارشناسان امنیتی از احتمال افزایش تلاش هکرها برای سرقت و استخراج این ارزها به روش های مختلف خبر دادند که در عمل نیز شاهد آن هستیم مجرمان سایبری برای استفاده غیرمجاز از منابع سخت افزاری کاربران به منظور ارزکاوی به روش هایی نظیر مخفی کردن آن در قالب آپدیت قانونی فلش پلیر روی آورده اند.

منبع : digiato