متن خبر

این بدافزار حیله گر می تواند محافظت امنیتی شما را بدون اینکه متوجه شوید خاموش کند – و سپس حجم زیادی از cryptominers را دانلود کند.

این بدافزار حیله گر می تواند محافظت امنیتی شما را بدون اینکه متوجه شوید خاموش کند – و سپس حجم زیادی از cryptominers را دانلود کند.

شناسهٔ خبر: 473692 -




نرم افزار آنتی ویروس
(اعتبار تصویر: Shutterstock)

هکرها راهی برای نصب cryptominers بر روی دستگاه های شما پیدا کرده اند، حتی اگر یک برنامه آنتی ویروس نصب کرده باشید.

این کمپین اخیراً توسط محققان امنیت سایبری از Elastic Security Labs و Antiy کشف شد که آن را REF4578 نامیدند، اما نتوانستند آن را به هیچ عامل تهدید خاصی نسبت دهند.

این کمپین با انداختن یک درایور آسیب‌پذیر در نقطه پایانی انجام می‌شود، که از طریق آن می‌توانند هر گونه برنامه آنتی‌ویروسی را که ممکن است روی دستگاه خود نصب کرده‌اید غیرفعال کنند و در نهایت حذف کنند. پس از انجام این کار، بدافزار XMRig، یکی از محبوب‌ترین ماینرهای ارزهای دیجیتال را حذف می‌کند. علاوه بر این، به نظر نمی رسد که قربانیان به طور خاص هدف قرار گرفته باشند، و تعیین دقیق تعداد رایانه های آلوده دشوار است.

استخراج ارزهای دیجیتال

محققان دقیقاً مطمئن نیستند که مهاجمان چگونه بدافزار را توزیع می‌کنند، اما یک حدس علمی می‌تواند از طریق فیشینگ، رسانه‌های اجتماعی و پیام‌های فوری یا از طریق مسمومیت تبلیغاتی و جعل هویت باشد.

هر روشی که باشد، قربانیان ابتدا یک فایل exe به نام Tiworker را حذف می‌کنند که به عنوان یک فایل قانونی ویندوز ظاهر می‌شود. این فایل یک اسکریپت powerShell به نام GhostEngine را حذف می کند که به نوبه خود تعدادی فعالیت مختلف را اجرا می کند.

از جمله آنها می توان به بارگذاری دو درایور هسته آسیب پذیر اشاره کرد: aswArPots.sys (درایور Avast) که برای پایان دادن به فرآیندهای تشخیص و پاسخ نقطه پایانی (EDR) استفاده می شود و IObitUnlockers.sys (درایور Iobit) که فایل اجرایی مرتبط را حذف می کند.

GhostEngine همچنین می‌تواند Windows Defender را غیرفعال کند، خدمات راه دور را فعال کند و گزارش‌های مختلف رویدادهای ویندوز را پاک کند.

هنگامی که فرآیند انجام شد و ساحل روشن شد، GhostEngine در نهایت XMRig، یک ماینر شناخته شده ارزهای دیجیتال را مستقر خواهد کرد. این ابزار که در بین مجرمان سایبری محبوب است، به طور مخفیانه ارز دیجیتال مونرو (XMR) را استخراج می کند که به خاطر حفظ حریم خصوصی و نام مستعار آن مشهور است.

برای محافظت از نقاط پایانی، محققان به تیم‌های فناوری اطلاعات پیشنهاد می‌کنند که به دنبال اجرای مشکوک PowerShell، فعالیت فرآیند غیرعادی و هرگونه ترافیک شبکه‌ای که به استخرهای استخراج ارزهای دیجیتال اشاره دارد، باشند.

از طریق Bleeping Computer

بیشتر از TechRadar Pro

Sead یک روزنامه‌نگار آزاد کارکشته در سارایوو، بوسنی و هرزگوین است. او در مورد IT (ابر، اینترنت اشیا، 5G، VPN) و امنیت سایبری (باج افزار، نقض داده ها، قوانین و مقررات) می نویسد. او در طول بیش از یک دهه فعالیت حرفه ای خود برای رسانه های متعددی از جمله الجزیره بالکان نوشته است. او همچنین چندین ماژول در زمینه نوشتن محتوا برای Represent Communications برگزار کرده است.

خبرکاو

ارسال نظر




تبليغات ايهنا تبليغات ايهنا

تمامی حقوق مادی و معنوی این سایت متعلق به خبرکاو است و استفاده از مطالب با ذکر منبع بلامانع است