مایکروسافت از استخراج ارزهای رمز نگاری شده تقریبا نیم میلیون از کامپیوترها جلوگیری کرد

مایکروسافت از استخراج ارزهای رمز نگاری شده تقریبا نیم میلیون از کامپیوترها جلوگیری کرد

هم رسان: مایکروسافت از وقوع یک کمپین گسترده و عظیم جلوگیری کرده است که در صورت وقوع ده ها هزار کامپیوتر را تحت تاثیر قرار می داد.

به گزارش پایگاه خبری هم رسان و به نقل از اینفوسکیوریتی، این غول تولید کننده نرم افزار گزارش می دهد که در ۶ مارس Windows Defender AV توانسته است بیش از ۸۰ هزار نمونه از چندین تروجان پیشرفته و پیچیده را مسدود کند که این تروجان ها از تکنیک های تزریق پیشرفته متقابل، مکانیزم های پایداری و روش های فرار از سیستم های تشخیص نفوذ استفاده می کنند. این تروجان ها که نمونه های جدیدی از Dofoil هستندو با نام Smoke Loader شناخته می شوند، دارای یک بار استخراج کننده کوین هستند. طی ۱۲ ساعت، بیش از ۴۰۰ هزار مورد ثبت شده است که ۷۳ در صد از آنها در روسیه است. ۱۸ درصد از آنها در ترکیه و ۴ درصد نیز در اوکراین به ثبت رسیده است.
Dofoil از یک اپلیکیشن استخراج سفارشی استفاده می کند که از تابعی با نام NiceHash پشتیبانی می کند که این به این معناست که این تروجان قادر به استخراج ارزهای رمز نگاری شده مختلف است. نمونه هایی که مایکروسافت تجزیه و تحلیل کرده است ارزهای الکترونیوم را استخراج می کنند. این نمونه ها از طریق فرایندی به نام process hollowing در سیستم ها به فعالیت می پردازند.

مارک سیموس طراح ارشد امنیت سایبری گروه مایکرو سافت در وبلاگی این طور توضیح می دهد:” Process hollowing یک تکنیک تزریق کد است که شامل ایجاد یک نمونه جدید از یک فرایند مجاز و سپس تعویض کد مجاز با بد افزار است. سپس فرایند hollowed explorer.exe یک نمونه مخرب ثانویه را تنظیم می کند که ظاهرسازی بدافزار استخراج ارز را به عنوان یک باینری مجاز ویندوزی اجرا می کند.”
این حمله به لطف استفاده از یک مکانیسم مقاومت غیرمعمول انجام می شود که باعث هشدارهای مبتنی بر رفتار می شود. بدافزارهای استخراج کننده ارز باید برای مدت طولانی به صورت ناشناس در سیستم باقی بمانند تا بتوانند ارزهای کافی استخراج کنند تا حمله انجام شده ارزش خود را داشته باشد.
در این مورد کنونی، Dofoil رجیستری را تغییر می دهد.
سیموس می گوید:” فرایند hollowed explorer.exe یک کپی بدافزار اصلی را پوشه Roaming AppData ایجاد می کند و آن را ditereah.exe نامگذاری می کند. سپس یک کلید رجیستری ایجاد می کند و یا این که رجیستری موجود را برای اشاره کردن به کپی بدافزار به تازگی ایجاد شده تغییر می دهد. در نمونه ای که ما مورد بررسی قرار دادیم، بدافزار کلید OneDrive Run را تغییر داده است.”
Dofoil تنها خانواده از جدیدترین بدافزارها است که در حملات به استخراج کنندگان ارز می پیوندد، این بدافزار به دلیل ارزش روزافزون بیت کوین و دیگر ارز های رمز نگاری شده به یک بدافزار محبوب و رایج تبدیل شده است. کیت های اکسپلویت در حال حاضر به جای باج افزارها ابزارهای استخراج بیت کوین ارائه می دهند، کلاهبرداران اسکریپت های استخراج ارز به وب سایت های پشتیبانی فن آوری قلابی اضافه می کنند و برخی از تروجان های بانکی نیز تابع استخراج ارز را به مجموعه ترفند ها و حقه های خود اضافه می کنند.

نوشته مایکروسافت از استخراج ارزهای رمز نگاری شده تقریبا نیم میلیون از کامپیوترها جلوگیری کرد اولین بار در هم رسان پدیدار شد.

Powered by WPeMatico