اخیرا بدافزار جدیدی برای استخراج ارز مجازی ظهور پیدا کرده که از ابزارهای پیچیدهای مانند بهرهبرداریهای ویندوز متعلق به آژانس امنیت ملی آمریکا استفاده میکند. این بدافزار WannaMine نام داشته و با استفاده از بهرهبرداریِ EternalBlue به حالت کرمگونه توزیع میشود. این بهرهبرداری متعلق به آژانس امنیت ملی آمریکا بوده و از آوریل سال ۲۰۱۷ میلادی بهطور عمومی منتشر شده است، درست یک ماه بعد از اینکه مایکروسافت آسیبپذیری مربوط به آن را وصله کرد.
این بهرهبرداری از یک آسیبپذیری در سرویس SMB ویندوز بر روی پورت ۴۴۵ استفاده کرده و پس از استفادهی باجافزار WannaCry از آن برای توزیع خود، بسیار معروف شد. از دیگر بدافزارهایی که از این بهرهبرداری استفاده میکنند میتوان به باتنتها، تروجانهای بانکی، باجافزار ناتپتیا و دربهای پشتی دیگر اشاره کرد. در حال حاضر نیز شاهد هستیم که بدافزار WannaMine برای استخراج ارز مجازی مونرو از این بهرهبرداری سوءاستفاده میکند. این بدافزار دارای ویژگی بدون-فایل بوده و در فرآیند آلودگی از پاورشل ویندوز استفاده میکند و این مسأله باعث میشود تا مسدود کردن آن با استفاده از نرمافزارهای امنیتی کار مشکلی باشد.
این بدافزار از ابزار Mimikatz برای بدست آوردن گواهینامههای سیستم قربانی برای ورود به آن استفاده میکند تا در ادامه بتواند به روال ماندگاری خود بر روی سیستم قربانی ادامه دهد ولی اگر در این فرآیند موفق نشد، با استفاده از EternalBlue از آسیبپذیری موجود بر روی سیستم قربانی از راه دور بهرهبرداری میکند. بدافزار WannaMine برای ماندگاری روی سیستم قربانی اشتراک رویداد دائمی را ثبت میکند که باعث میشود هر ۹۰ دقیقه یکبار، یک دستور پاورشل اجرا شود.
این بدافزار تمامی نسخههای سیستم عامل ویندوز اعم از ویندوز ۲۰۰۰، نسخهی ۶۴ بیتی و ویندوز سرور ۲۰۰۳ را هدف قرار داده است. به گفتهی محققان امنیتی سازمانهایی که این بدافزار آلوده شدهاند، در معرض آلودگی به بدافزارهای دیگری مانند باجافزارها نیز قرار دارند. این بدافزار برای استخراج ارز مجازی مونرو طراحی شده و ماشینی که به آن آلوده شده احتمالا در اثر این فرآيند استخراج ارز، کند خواهد شد.
این استفادهی زیاد از دستگاه منجر به داغ شدن آن و خالی شدن سریع باتری سیستم خواهد شد. برای جلوگیری از آلوده شدن به بدافزار WannaMine به کاربران توصیه میشود تا نرمافزارها و برنامههای امنیتی خود را بهروز نگه دارند و در سیستمهای خود از پسوردهای قوی و پیچیدهتری استفاده کنند.