طبق اعلامیه ای که در ششم ژوئن منتشر شد، تیم امنیتی گاردی کور (GuardiCore) یک دستکاری ترافیکی مخرب و استخراج ارزهای رمزنگاری شده را شناسایی کرده است. این کمپین به بیش از 40 هزار دستگاه در صنایع مختلف از جمله: مالی، آموزشی و دولتی سرایت کرده و آنها را آلوده ساخته است.
این کمپین که Operation Prowli نام دارد از تکنیک های مختلفی مانند سوء استفاده از اطلاعات و رمزهای عبور برای پخش این بدافزار و ارسال آن به دستگاه هایی مانند سرورهای وب، مودم ها و دستگاههای اینترنت اشیا(IoT) استفاده می کند تا آن ها را در دست گیرد. تیم گاردی کور پی برد مهاجمان Prowli قصد بدست آوردن پول از این کار را داشته اند تا اینکه جاسوسی کنند.
در این حمله، دستگاه ها توسط یک ماینر مونرو(XMR) و کرمی به نام r2r2 آسیب دیده اند. این کرم، یک بدافزار است که حملات شدید SHH را در دستگاه های هک شده انجام می دهد، و از Prowli برای حمله به قربانیان جدید استفاده می کند. به عبارتی دیگر بدافزار r2r2 بوسیله تولید تصادفی آی پی آدرس، تلاش می کند تا ورودی های SHH را با استفاده از کلمه کاربری و رمز عبور شکسته، و بعد از ورود، یکسری دستورات را بر روی سیستم قربانی اجرا می کند. تیم امنیتی گاردی کور نوشت:
“تمام حملات به شیوه ای یکسان اعمال شدند. آنها با یک سرور C&C یکسان برای دانلود تعدادی از ابزارهای حمله به نام r2r2 همراه با استخراج ارز رمزنگاری، ارتباط برقرار کرده اند.”
بعلاوه، این حملات اینترنتی از یک وبسایت منبع باز به نامWSO Web Shell استفاده کردند تا سایت های آسیب دیده را برای میزبانی کد مخرب که بازدیدکنندگان سایت را به یک سیستم توزیع ترافیک، دوباره راهنمایی می کند، تغییر دهند و سپس کاربران را به سایت های مخرب دیگر هدایت می کند. هنگامی که کاربران به یک وبسایت جعلی راهنمایی شدند، آنها بوسیله کلیک کردن بر روی پسوند مخرب مرورگر، قربانی این کرش می شوند. تیم گاردی کور گزارش داد که Prowli تا به حال موفق شده است به بیش از 9000 شرکت صدمه وارد آورد.
ماه گذشته، یک قطعه جدید از نرم افزارهای تخریب گر رمزگشایی، از نیم میلیون کامپیوتر برای استخراج 133 توکن مونرو در طول سه روز استفاده کرد. شرکت امنیتی سایبری360 Total Security تشخیص داد این بدافزار یک نوع WinstarNssmMiner است. این بدافزار از انجایی که قادر است دستگاه های آسیب دیده را هم برای استخراج و هم جهت کرش استفاده کند، یک چالش کاملا جدید را برای کاربران به شمار می آید.
منبع
exchanging.ir