کشف بدافزار جدید استخراج ارز دیجیتال

کشف بدافزار جدید استخراج ارز دیجیتال
تاریخ انتشار : ۲۴ آبان ۱۳۹۷

مرکز مدیریت راهبردی افتای ریاست جمهوری با اعلام خبر کشف بدافزار جدید کاوش ارز دیجیتال، نسبت به سوءاستفاده این نرم افزار مخرب از قدرت پردازشگر سیستم کامپیوتری قربانیان هشدار داد.

به گزارش گرداب، به طور کلی شناسایی بدافزارهای کاوشگر ارز دیجیتالی دشوار است. هنگامی که یک دستگاه در معرض این‌گونه بدافزارها قرار می‌گیرد، یک برنامه مخرب در پس زمینه اجرا می‌شود و مصرف انرژی را افزایش می‌دهد که در نتیجه سرعت و عملکرد دستگاه کاهش می یابد.

از آنجایی که دلیل گرایش مجرمین سایبری به چنین بدافزارهایی، افزایش قیمت ارزهای دیجیتال عنوان شده است به تازگی آزمایشگاه مک آفی ( McAfee ) بدافزار جدیدی با نام WebCobra را کشف کرده که از قدرت پردازش سیستم قربانیان برای کاوش ارز دیجیتالی استفاده می‌کند.

مرکز راهبردی افتای ریاست جمهوری در این باره اعلام کرد که « بدافزار WebCobra بسته به نوع معماری که تشخیص دهد، به صورت مخفیانه کاوشگر Cryptonight یا Claymore’s Zcash را نصب می‌کند. دامنه آلودگی این بدافزار در سراسر جهان در روزهای ۱۸ الی ۲۲ شهریور  بوده و بیشترین آلودگی‌ها مربوط به کشورهای برزیل، افریقای جنوبی و ایالات متحده است.»

در نمودار زیر تعداد نمونه‌های بدافزار کاوش ارز Monero مشاهده شده به همراه تغییرات قیمت این ارز نمایش داده شده است.

دراپر اصلی (یا منتقل کننده بدافزار) این بدافزار یک نصب کننده یا installer مایکروسافت است که محیط سیستم را بررسی می‌کند. به نحوی که در سیستم‌های x۸۶ کاوشگر Cryptonight نصب می‌شود و در سیستم‌های x۶۴ کاوشگر Claymore’s Zcash از یک سرور راه دور بارگیری و نصب می‌شود. پس از آن در ادامه یک فایل CAB در سیستم بارگذاری می‌شود که حاوی بدنه bin و یک فایل DLL برای رمزگشایی بدنه است.

بدنه بدافزار دارای قابلیت‌های ضد دیباگ، ضد شبیه‌سازی و ضد محیط‌های سندباکس است و از این رو، برای مدت طولانی به صورت ناشناخته در سیستم باقی می‌ماند.
در سیستم‌های x۸۶ بدافزار به فرایند پردازشی svchost.exe نفوذ می‌کند و فرایند کاوش ارز را انجام می‌دهد. اما در سیستم‌های x۶۴، تنها در صورتی فرایند کاوش ارز انجام می‌شود که Wireshark در سیستم شناسایی نشود و پردازنده گرافیکی قربانی یکی از سه مدل Radeon، Nvidia و Asus باشد.

نشانه‌های آلودگی:
آدرس‌های آی‌پی:

   ۱۴۹,۲۴۹.۱۳:۲۲۲۴
   ۱۴۹,۲۵۴.۱۷۰:۲۲۲۳
    ۳۱,۹۲.۲۱۲

دامنه‌ها:
    fee.xmrig.com
fee.xmrig.com
ru
    zec.slushpool.com

هش‌ها (SHA-۲۵۶):

۵E۱۴۴۷۸۹۳۱E۳۱CF۸۰۴E۰۸A۰۹E۸DFFD۰۹۱DB۹ABD۶۸۴۹۲۶۷۹۲DBEBEA۹B۸۲۷C۹F۳۷
۲ED۸۴۴۸A۸۳۳D۵BBE۷۲E۶۶۷A۴CB۳۱۱A۸۸F۹۴۱۴۳AA۷۷C۵۵FBDBD۳۶EE۲۳۵E۲D۹۴۲۳
F۴ED۵C۰۳۷۶۶۹۰۵F۸۲۰۶AA۳۱۳۰C۰CDEDEC۲۴B۳۶AF۴۷C۲CE۲۱۲۰۳۶D۶F۹۰۴۵۶۹۳۵۰
۱BDFF۱F۰۶۸EB۶۱۹۸۰۳ECD۶۵C۴ACB۲C۷۴۲۷۱۸B۰EE۲F۴۶۲DF۷۹۵۲۰۸EA۹۱۳F۳۳۵۳B
D۴۰۰۳E۶۹۷۸BCFEF۴۴FDA۳CB۱۳D۶۱۸EC۸۹BF۹۳DEBB۷۵C۰۴۴۰C۳AC۴C۱ED۲۴۷۲۷۴۲
۰۶AD۹DDC۹۲۸۶۹E۹۸۹C۱DF۸E۹۹۱B۱BD۱۸FB۴۷BCEB۸ECC۹۸۰۶۷۵۶۴۹۳BA۳A۱A۱۷D۶
۶۱۵BFE۵A۸AE۷E۰۸۶۲A۰۳D۱۸۳E۶۶۱C۴۰A۱D۳D۴۴۷EDDABF۱۶۴FC۵E۶D۴D۱۸۳۷۹۶E۰
F۳۱۲۸۵AE۷۰۵FF۶۰۰۰۷BF۴۸AEFBC۷AC۷۵A۳EA۵۰۷C۲E۷۶B۰۱BA۵F۴۷۸۰۷۶FA۵D۱B۳
AA۰DBF۷۷D۵AA۹۸۵EEA۵۲DDDA۵۲۲۵۴۴CA۰۱۶۹DCA۴AB۸FB۵۱۴۱ED۲BDD۲A۵EC۱۶CE