طی هفته گذشته شبکه Palo Alto اعلام کرد که نسخه جعلی بروز شده Adobe Flash Player که دارای بدافزار استخراج ارزهای رمزنگاری است، در حال گسترش می باشد.
در آخرین پست وبلاگ خود، این شرکت امنیت سایبری اعلام کرد که بیشترین نسخه جعلی بروز شده Flash را در طول دوره کاری و تحقیقاتی خود کشف کرده است.
این نسخه های جعلی از اعلام اخطارهای نرم افزار رسمی Adobe استفاده می کنند. اگر به روزرسانی توسط سیستم کاربر اجرا شود، این امر باعث خواهد شد بدافزار استخراج ارزهای رمزنگاری مانند استخراج کننده XMRig، به سیستم کاربر اضافه شود. همچنین این بدافزار ممکن است Flash Player را به آخرین نسخه بروزرسانی کند و به این ترتیب کاربر نمی تواند متوجه بدافزار شود.
پس از استقرار، بد افزار استخراج ارز رمزنگاری در سیستم عامل اجرا شده و استخراج شروع می شود. بد افزار ممکن است توسط آنتی ویروس کاربر شناخته شود.
بدافزارهای استخراج ارزهای رمزنگاری همچنین می توانند در صورتی که منابع سیستم به طور ناگهانی تحت فشار قرار گیرند و یا به نظر برسد پردازنده سیستم به طور مداوم درگیر است و کار می کند، مشخص شوند. این بدافزار همچنین ممکن است به عنوان یک برنامه غیر معمول در Task Manager ویندوز توسط منابع سیستم شناسایی شود.
افزایش و گسترش بدافزارها
Palo Alto Networks مشخص کرد که این فایل های قابل اجرا در ویندوز که با پیشوند AdobeFlashPlayer ارائه می شوند بر روی سرورهای ابری غیر از Adobe قرار دارند. این سرورها متعلق به هکرها هستند و یا توسط آنها استفاده می شوند.
Palo Alto اعلام کرد که در سال 2018 میلادی این بدافزارها در حال افزایش هستند و در ماه سپتامبر به اوج خود رسیده اند. این شرکت در طی آزمایش یکی از نسخه های بروزرسانی جعلی دریافت که معمولا مهاجمان از بدافزارهای استخراج، جهت استخراج مونرو استفاده می کنند زیرا کاملا ماهیت ناشناس دارد.
گزارش آزمایشگاه مکافی برای سپتامبر 2018 نشان می داد که هرچند انواع جدید بدافزارها در سال 2018 کاهش یافته، اما همچنان حملات بدافزاری رو به افزایش است. تعداد این حملات از سال 2016 تا به حال افزایش یافته است.
محافظت در برابر بدافزار استخراج ارزهای رمزنگاری
Palo Alto به عنوان نتایج تحقیقات خود اعلام کرد که کاربران آگاه و کسانی که با آنتی ویروس از سیستم خود استفاده می کنند در معرض خطر کمتری قرار دارند. به روزرسانی سیستم و آنتی ویروس احتمال شناسایی بدافزار را قبل یا بعد از نصب فزایش می دهد.
کاربران سیستم ها در صورتی که سیستم ناگهان کند شد یا از پردازنده، بیش از حد معمول استفاده شد، باید به طور جدی مورد را بررسی کنند. در صورت اخطارهای بروزرسانی، کاربران باید ریشه و نام فایل های خود را بررسی کنند تا از نصب غیرواقعی جلوگیری شود.
بدافزارهای استخراج ارزهای رمزنگاری تنها نوعی بدافزار هستند که به هکر به صورت ارزهای رمزنگاری پاداش می دهند. اما بدافزارهای مخربی مانند Combojack و سایر کلیپ بوردهای مهاجم، منتظر می مانند تا کاربر آدرس کیف پول ارز رمزنگاری مقصد را با استفاده از کلیپ بورد کپی کند. هنگامی که کاربر سعی دارد آدرس کیف پول صرافی یا مقصد را جایگذاری کند، بدافزار آدرس مقصد را با آدرس هکر جایگزین می کند. به این ترتیب قربانی به طور مستقیم ارز را به هکر انتقال می دهد.
شرکت امنیت سایبری “کربن بلک” اعلام کرد که فقط در نیمه اول سال 2018 در حدود 1.1 میلیارد دلار ارز رمزنگاری سرمایه گذاران به سرقت رفته است که یکی از عوامل مهم آن حملات بدافزاری بود.