هکرها راهی برای نصب cryptominers بر روی دستگاه های شما پیدا کرده اند، حتی اگر یک برنامه آنتی ویروس نصب کرده باشید.
این کمپین اخیراً توسط محققان امنیت سایبری از Elastic Security Labs و Antiy کشف شد که آن را REF4578 نامیدند، اما نتوانستند آن را به هیچ عامل تهدید خاصی نسبت دهند.
این کمپین با انداختن یک درایور آسیبپذیر در نقطه پایانی انجام میشود، که از طریق آن میتوانند هر گونه برنامه آنتیویروسی را که ممکن است روی دستگاه خود نصب کردهاید غیرفعال کنند و در نهایت حذف کنند. پس از انجام این کار، بدافزار XMRig، یکی از محبوبترین ماینرهای ارزهای دیجیتال را حذف میکند. علاوه بر این، به نظر نمی رسد که قربانیان به طور خاص هدف قرار گرفته باشند، و تعیین دقیق تعداد رایانه های آلوده دشوار است.
استخراج ارزهای دیجیتال
محققان دقیقاً مطمئن نیستند که مهاجمان چگونه بدافزار را توزیع میکنند، اما یک حدس علمی میتواند از طریق فیشینگ، رسانههای اجتماعی و پیامهای فوری یا از طریق مسمومیت تبلیغاتی و جعل هویت باشد.
هر روشی که باشد، قربانیان ابتدا یک فایل exe به نام Tiworker را حذف میکنند که به عنوان یک فایل قانونی ویندوز ظاهر میشود. این فایل یک اسکریپت powerShell به نام GhostEngine را حذف می کند که به نوبه خود تعدادی فعالیت مختلف را اجرا می کند.
از جمله آنها می توان به بارگذاری دو درایور هسته آسیب پذیر اشاره کرد: aswArPots.sys (درایور Avast) که برای پایان دادن به فرآیندهای تشخیص و پاسخ نقطه پایانی (EDR) استفاده می شود و IObitUnlockers.sys (درایور Iobit) که فایل اجرایی مرتبط را حذف می کند.
GhostEngine همچنین میتواند Windows Defender را غیرفعال کند، خدمات راه دور را فعال کند و گزارشهای مختلف رویدادهای ویندوز را پاک کند.
هنگامی که فرآیند انجام شد و ساحل روشن شد، GhostEngine در نهایت XMRig، یک ماینر شناخته شده ارزهای دیجیتال را مستقر خواهد کرد. این ابزار که در بین مجرمان سایبری محبوب است، به طور مخفیانه ارز دیجیتال مونرو (XMR) را استخراج می کند که به خاطر حفظ حریم خصوصی و نام مستعار آن مشهور است.
برای محافظت از نقاط پایانی، محققان به تیمهای فناوری اطلاعات پیشنهاد میکنند که به دنبال اجرای مشکوک PowerShell، فعالیت فرآیند غیرعادی و هرگونه ترافیک شبکهای که به استخرهای استخراج ارزهای دیجیتال اشاره دارد، باشند.
از طریق Bleeping Computer
ارسال نظر