به گزارش خبرگزاری دانا، به طور کلی شناسایی بدافزارهای کاوشگر ارز دیجیتالی دشوار است. هنگامی که یک دستگاه در معرض اینگونه بدافزارها قرار میگیرد، یک برنامه مخرب در پس زمینه اجرا میشود و مصرف انرژی را افزایش میدهد که در نتیجه سرعت و عملکرد دستگاه کاهش می یابد.
از آنجایی که دلیل گرایش مجرمین سایبری به چنین بدافزارهایی، افزایش قیمت ارزهای دیجیتال عنوان شده است به تازگی آزمایشگاه مک آفی ( McAfee ) بدافزار جدیدی با نام WebCobra را کشف کرده که از قدرت پردازش سیستم قربانیان برای کاوش ارز دیجیتالی استفاده میکند.
مرکز راهبردی افتای ریاست جمهوری در این باره اعلام کرد که « بدافزار WebCobra بسته به نوع معماری که تشخیص دهد، به صورت مخفیانه کاوشگر Cryptonight یا Claymore’s Zcash را نصب میکند. دامنه آلودگی این بدافزار در سراسر جهان در روزهای ۱۸ الی ۲۲ شهریور بوده و بیشترین آلودگیها مربوط به کشورهای برزیل، افریقای جنوبی و ایالات متحده است.»
در نمودار زیر تعداد نمونههای بدافزار کاوش ارز Monero مشاهده شده به همراه تغییرات قیمت این ارز نمایش داده شده است.
دراپر اصلی (یا منتقل کننده بدافزار) این بدافزار یک نصب کننده یا installer مایکروسافت است که محیط سیستم را بررسی میکند. به نحوی که در سیستمهای x۸۶ کاوشگر Cryptonight نصب میشود و در سیستمهای x۶۴ کاوشگر Claymore’s Zcash از یک سرور راه دور بارگیری و نصب میشود. پس از آن در ادامه یک فایل CAB در سیستم بارگذاری میشود که حاوی بدنه bin و یک فایل DLL برای رمزگشایی بدنه است.
بدنه بدافزار دارای قابلیتهای ضد دیباگ، ضد شبیهسازی و ضد محیطهای سندباکس است و از این رو، برای مدت طولانی به صورت ناشناخته در سیستم باقی میماند.
در سیستمهای x۸۶ بدافزار به فرایند پردازشی svchost.exe نفوذ میکند و فرایند کاوش ارز را انجام میدهد. اما در سیستمهای x۶۴، تنها در صورتی فرایند کاوش ارز انجام میشود که Wireshark در سیستم شناسایی نشود و پردازنده گرافیکی قربانی یکی از سه مدل Radeon، Nvidia و Asus باشد.
نشانههای آلودگی:
آدرسهای آیپی:
۱۴۹,۲۴۹.۱۳:۲۲۲۴
۱۴۹,۲۵۴.۱۷۰:۲۲۲۳
۳۱,۹۲.۲۱۲
دامنهها:
fee.xmrig.com
fee.xmrig.com
ru
zec.slushpool.com
هشها (SHA-۲۵۶):
۵E۱۴۴۷۸۹۳۱E۳۱CF۸۰۴E۰۸A۰۹E۸DFFD۰۹۱DB۹ABD۶۸۴۹۲۶۷۹۲DBEBEA۹B۸۲۷C۹F۳۷
۲ED۸۴۴۸A۸۳۳D۵BBE۷۲E۶۶۷A۴CB۳۱۱A۸۸F۹۴۱۴۳AA۷۷C۵۵FBDBD۳۶EE۲۳۵E۲D۹۴۲۳
F۴ED۵C۰۳۷۶۶۹۰۵F۸۲۰۶AA۳۱۳۰C۰CDEDEC۲۴B۳۶AF۴۷C۲CE۲۱۲۰۳۶D۶F۹۰۴۵۶۹۳۵۰
۱BDFF۱F۰۶۸EB۶۱۹۸۰۳ECD۶۵C۴ACB۲C۷۴۲۷۱۸B۰EE۲F۴۶۲DF۷۹۵۲۰۸EA۹۱۳F۳۳۵۳B
D۴۰۰۳E۶۹۷۸BCFEF۴۴FDA۳CB۱۳D۶۱۸EC۸۹BF۹۳DEBB۷۵C۰۴۴۰C۳AC۴C۱ED۲۴۷۲۷۴۲
۰۶AD۹DDC۹۲۸۶۹E۹۸۹C۱DF۸E۹۹۱B۱BD۱۸FB۴۷BCEB۸ECC۹۸۰۶۷۵۶۴۹۳BA۳A۱A۱۷D۶
۶۱۵BFE۵A۸AE۷E۰۸۶۲A۰۳D۱۸۳E۶۶۱C۴۰A۱D۳D۴۴۷EDDABF۱۶۴FC۵E۶D۴D۱۸۳۷۹۶E۰
F۳۱۲۸۵AE۷۰۵FF۶۰۰۰۷BF۴۸AEFBC۷AC۷۵A۳EA۵۰۷C۲E۷۶B۰۱BA۵F۴۷۸۰۷۶FA۵D۱B۳
AA۰DBF۷۷D۵AA۹۸۵EEA۵۲DDDA۵۲۲۵۴۴CA۰۱۶۹DCA۴AB۸FB۵۱۴۱ED۲BDD۲A۵EC۱۶CE
از آنجایی که دلیل گرایش مجرمین سایبری به چنین بدافزارهایی، افزایش قیمت ارزهای دیجیتال عنوان شده است به تازگی آزمایشگاه مک آفی ( McAfee ) بدافزار جدیدی با نام WebCobra را کشف کرده که از قدرت پردازش سیستم قربانیان برای کاوش ارز دیجیتالی استفاده میکند.
مرکز راهبردی افتای ریاست جمهوری در این باره اعلام کرد که « بدافزار WebCobra بسته به نوع معماری که تشخیص دهد، به صورت مخفیانه کاوشگر Cryptonight یا Claymore’s Zcash را نصب میکند. دامنه آلودگی این بدافزار در سراسر جهان در روزهای ۱۸ الی ۲۲ شهریور بوده و بیشترین آلودگیها مربوط به کشورهای برزیل، افریقای جنوبی و ایالات متحده است.»
در نمودار زیر تعداد نمونههای بدافزار کاوش ارز Monero مشاهده شده به همراه تغییرات قیمت این ارز نمایش داده شده است.
دراپر اصلی (یا منتقل کننده بدافزار) این بدافزار یک نصب کننده یا installer مایکروسافت است که محیط سیستم را بررسی میکند. به نحوی که در سیستمهای x۸۶ کاوشگر Cryptonight نصب میشود و در سیستمهای x۶۴ کاوشگر Claymore’s Zcash از یک سرور راه دور بارگیری و نصب میشود. پس از آن در ادامه یک فایل CAB در سیستم بارگذاری میشود که حاوی بدنه bin و یک فایل DLL برای رمزگشایی بدنه است.
بدنه بدافزار دارای قابلیتهای ضد دیباگ، ضد شبیهسازی و ضد محیطهای سندباکس است و از این رو، برای مدت طولانی به صورت ناشناخته در سیستم باقی میماند.
در سیستمهای x۸۶ بدافزار به فرایند پردازشی svchost.exe نفوذ میکند و فرایند کاوش ارز را انجام میدهد. اما در سیستمهای x۶۴، تنها در صورتی فرایند کاوش ارز انجام میشود که Wireshark در سیستم شناسایی نشود و پردازنده گرافیکی قربانی یکی از سه مدل Radeon، Nvidia و Asus باشد.
نشانههای آلودگی:
آدرسهای آیپی:
۱۴۹,۲۴۹.۱۳:۲۲۲۴
۱۴۹,۲۵۴.۱۷۰:۲۲۲۳
۳۱,۹۲.۲۱۲
دامنهها:
fee.xmrig.com
fee.xmrig.com
ru
zec.slushpool.com
هشها (SHA-۲۵۶):
۵E۱۴۴۷۸۹۳۱E۳۱CF۸۰۴E۰۸A۰۹E۸DFFD۰۹۱DB۹ABD۶۸۴۹۲۶۷۹۲DBEBEA۹B۸۲۷C۹F۳۷
۲ED۸۴۴۸A۸۳۳D۵BBE۷۲E۶۶۷A۴CB۳۱۱A۸۸F۹۴۱۴۳AA۷۷C۵۵FBDBD۳۶EE۲۳۵E۲D۹۴۲۳
F۴ED۵C۰۳۷۶۶۹۰۵F۸۲۰۶AA۳۱۳۰C۰CDEDEC۲۴B۳۶AF۴۷C۲CE۲۱۲۰۳۶D۶F۹۰۴۵۶۹۳۵۰
۱BDFF۱F۰۶۸EB۶۱۹۸۰۳ECD۶۵C۴ACB۲C۷۴۲۷۱۸B۰EE۲F۴۶۲DF۷۹۵۲۰۸EA۹۱۳F۳۳۵۳B
D۴۰۰۳E۶۹۷۸BCFEF۴۴FDA۳CB۱۳D۶۱۸EC۸۹BF۹۳DEBB۷۵C۰۴۴۰C۳AC۴C۱ED۲۴۷۲۷۴۲
۰۶AD۹DDC۹۲۸۶۹E۹۸۹C۱DF۸E۹۹۱B۱BD۱۸FB۴۷BCEB۸ECC۹۸۰۶۷۵۶۴۹۳BA۳A۱A۱۷D۶
۶۱۵BFE۵A۸AE۷E۰۸۶۲A۰۳D۱۸۳E۶۶۱C۴۰A۱D۳D۴۴۷EDDABF۱۶۴FC۵E۶D۴D۱۸۳۷۹۶E۰
F۳۱۲۸۵AE۷۰۵FF۶۰۰۰۷BF۴۸AEFBC۷AC۷۵A۳EA۵۰۷C۲E۷۶B۰۱BA۵F۴۷۸۰۷۶FA۵D۱B۳
AA۰DBF۷۷D۵AA۹۸۵EEA۵۲DDDA۵۲۲۵۴۴CA۰۱۶۹DCA۴AB۸FB۵۱۴۱ED۲BDD۲A۵EC۱۶CE