مرکز تخصصی آپا دانشگاه ارومیه (CSIRT)
شرکت مایکروسافت هفته ی گذشته روند روبه رشدی از بدافزارهای استخراج ارز مجازی را گزارش کرد که در طول ۱۲ ساعت نزدیک به ۵۰۰ هزار کامپیوتر را آلوده و عملیات آن ها را مسدود کرده بودند. این بدافزار با نام های Dofoil ،Smoke Loader شناخته می شود و در بار داده ی آن، ابزارهای استخراج ارز مجازی وجود داشته و سیستم قربانی را آلوده کرده و از توان پردازشی قربانی برای استخراج ارز دیجیتال اتریوم استفاده می کند.
در تاریخ ۶ مارس، سیستم دفاعی ویندوز نزدیک به ۸۰ هزار نمونه از بدافزار Dofoil را شناسایی کرده و هشدار داد و در ادامه در طول ۱۲ ساعت نزدیک به ۴۰۰ هزار نمونهی دیگر توسط این سیستم شناسایی شد. محققان اعلام کردند این بدافزار بیش از همه در کشورهای روسیه، ترکیه و اوکراین در حال توزیع است. همچنین باینری این بدافزار خود را در قالب باینریهای قانونی جا زده و از تشخیص توسط نرمافزارهای امنیتی فرار میکند.
هرچند مایکروسافت هنوز اعلام نکرده این بدافزار به چه شیوهای توانسته است در این بازهی زمانی کوتاهمدت، سیستمهای زیادی را آلوده کند. بدافزار Dofoil از یک ابزار ویژه برای استخراج ارز مجازی استفاده میکند که قابلیت استخراج ارزهای مختلف را دارا میباشد ولی در این پویش، هدف از آلوده کردن ماشینهای قربانیان، استخراج ارز اتریوم است.
به گفتهی محققان امنیتی این بدافزار از یک شیوهی قدیمی تزریق کد استفاده کرده و پردازهی قانونی را با پردازهی مخرب که حاوی بدافزار است جایگزین میکند تا نرمافزارهای امنیتی آن را تشخیص نداده و فرض کنند که پردازهی قانونی در حال اجرا است. این بدافزار برای حفظ ماندگاری در سیستم قربانی، برای اینکه بعد از راهاندازی مجدد، دوباره اجرا شود، رجیستری سیستم قربانی را ویرایش و دستکاری میکند.
بدافزار Dofoil به سرور دستور و کنترل که بر روی زیرساخت شبکهی توزیعشدهی Namecoin متصل شده و به دستورات گوش میدهد. از جملهی این دستورات میتوان به نصب بدافزارهای دیگر اشاره کرد. مایکروسافت اعلام کرده نرمافزارهای امنیتی مبتنی بر رفتار پردازهها و روشهای هوش مصنوعی مبتنی بر یادگیری ماشین، به سیستم دفاعی ویندوز در کشف و شناسایی این پویش از بدافزارها بسیار کمک کرده است.
