کشف بدافزار سرقت رمزنگاری در هشت اپلیکیشن ویندوز 10

پس از اینکه شرکت امنیت سایبری سیمانتک کد مخفیانه استخراج ارز مونرو (XMR) را در هشت اپلیکیشن ویندوز 10 کشف کرد، شرکت مایکروسافت آنها را از فروشگاه رسمی خود حذف کرد. این خبر توسط سیمانتک در پانزدهم نوامبر منتشر شد.

استخراج مخفیانه ارز رمزنگاری که نیز به سرقت ارز رمزنگاری (cryptjacking) معروف است، از طریق نصب بدافزار، قدرت محاسباتی کامپیوتر را برای استخراج ارزهای رمزنگاری بدون اطلاع و اجازه مالک استفاده می کند. طبق گزارش سیمانتک، این شرکت کد استخراج مخرب مونرو را ابتدا به وسیله ی سه توسعه دهنده و در تاریخ هفدهم ژانویه در هشت مورد اپلیکیشن شناسایی کرد.

پس از اخطار سیمانتک، مایکروسافت تمام هشت اپلیکیشن را حذف کرد. اگرچه تاریخ دقیقی از زمان حذف آنها ارائه نکرده است.

بر اساس گزارش ها، این اپلیکیشن ها که در لیست فروشگاه نرم افزار مایکروسافت به عنوان برنامه های برتر رایگان عرضه می شدند، شامل نرم افزار های آموزش بهینه سازی کامپیوتر و باتری، جستجوی اینترنتی، مرورگرهای وب و نرم افزار دانلود و تماشای ویدیو بودند. این اَپ ها توسط توسعه دهندگان دیجی دریم، وان کلین و فیندو ارائه شده بودند. پس از بررسی دقیق تر، سیمانتک اعلام کرد تمام هشت برنامه به جای اینکه از  سه نهاد متمایز باشند در واقع توسط یک شخص و یا یک گروه توسعه یافته اند.

گزارش ها حاکی از این است که تمام نمونه های شناسایی شده قبل اجرا روی ویندوز 10، از جمله ویندوز 10 S Mode می باشند و بین ماه های آوریل و دسامبر 2018 منتشر شده اند. طبق گزارش ها، آنها با استفاده از اجرای مدیریت برچسب گوگل (Google Tag Manager) در سرورهای دامنه ی خود، برای رفت و اورد (fetch) یک کتابخانه جاوا اسکریپت استخراج فعالیت می کنند. هنگامی که اسکریپت استخراج فعال شود، قدرت پردازشی CPU با هدف استخراج مونرو ربوده می شود.

نمایندگان سیمانتک به وب سایت خبری فناوری اطلاعات زی.دی. نت اعلام کردند که این اولین باری است که موارد سرقت ارز رمزنگاری (cryptojacking) در فروشگاه مایکروسافت مشاهده شده است. به نظر می رسد موفقیت سرقت این بدافزارها به این دلیل بوده است که آنها مستقل از مرورگر و در یک صفحه جداگانه (صفحه  پردازش WWAHost.exe) اجرا می شدند. علاوه بر این، استفاده ی آنها از CPU دارای هیچ نظمی نبوده و می تواند از 1 تا حتی 100 درصد توان CPU را بدون هیچ ترتیبی استفاده کند.

سیمانتک قادر به تعیین تعداد دقیق دانلود و نصب بدافزار ها نیست. اما طبق مشاهدات این شرکت، اپلیکیشن ها حدود 1900 رای دریافت کرده اند. حال معلوم ساختن اینکه آیا این آمار به طور صحیح نشان دهنده کاربران است یا ربات های جعلی، کار دشواری خواهد بود.

پیرو هشدار سیمانتک، در کنار اقدام مایکروسافت برای حذف اپلیکیشن ها، همچنین گزارش شده استخراج جاوا اسکریپت از مدیریت برچسب گوگل (Google Tag Manager) حذف شده است.

طبق گزارشات، تحقیق اخیر از موسسه تحقیقاتی امنیت سایبری کاسپراسکای لب نشان داد که سرقت ارز رمزنگاری با استفاده از باج افزار ها (ransomware) به بزرگترین تهدید امنیت سایبری به خصوص در خاورمیانه، ترکیه و آفریقا تبدیل شده است.