پژوهشگران امنیت سایبری ESET بیان کردند که بخشی از یک باتنت بدافزاری را که حداقل ۳۵ هزار سیستم ویندوزی را در معرض خطر قرار داده است و مهاجمان بهطور مخفیانه برای استخراج رمزارز مونرو از آن استفاده میکنند، از کار انداختند.
این باتنت با نام VictoryGate از ماه مِه سال ۲۰۱۹ میلادی فعال است و آلودگیهای آن عمدتاً در امریکای لاتین گزارش شده است که بهطور خاص پِرو ۹۰ درصد از دستگاههای آسیبدیده را در بر میگیرد.
ESET بیان کرد که فعالیت اصلی این باتنت استخراج رمزارز مونرو است. قربانیان شامل سازمانهای بخش خصوصی و دولتی ازجمله مؤسسات مالی هستند.
ESET بیان کرد که با شرکت ارائهدهندهی DNS پویای No-IP همکاری کرده است تا سرورهای فرمان و کنترل مخرب را از کار بیندازد و دامنههای جعلی برای نظارت بر فعالیت این باتنت ایجاد کند.
دادهها نشان میدهد که در طول ماه فوریه و مارس سال جاری بین ۲ هزار تا ۳٬۵۰۰ رایانهی آلوده بهصورت روزانه به سرورهای C2 متصل شدهاند.
بهگفتهی پژوهشگران ESET، باتنت VictoryGate از طریق دستگاههای قابل جابجایی مانند حافظههای USB منتشر میشود که در صورت اتصال به دستگاه قربانی، یک بار دادهی مخرب را در سیستم نصب میکند.
علاوهبرآن، این ماژول با سرور C2 نیز ارتباط برقرار میکند تا یک بار دادهی ثانویه را دریافت کند که کد دلخواه را در فرآیندهای قانونی ویندوز مانند معرفی نرمافزار استخراج XMRig به فرآیند ucsvc.exe تزریق کند و درنتیجه استخراج مونرو را تسهیل کند.
پژوهشگران بیان کردند که براساس دادههای جمعآوریشده میتوان گفت که بهطور میانگین ۲ هزار دستگاه وجود دارند که در طول روز مونرو استخراج میکنند. در صورتی که میانگین نرخ هش ۱۵۰ هش در ثانیه تخمین زده شود، می توان گفت که نویسندگان این پویش حداقل ۸۰ مونرو را تنها از طریق این باتنت جمعآوری کردهاند.
ESET هشدار داد که با استفاده از حافظههای USB بهعنوان یک بردار تکثیر ممکن است آلودگیهای جدیدی در آینده رخ دهد. اما با وجود حفرههای امنیتی قابل توجه در زیرساخت C2، این باتنتها دیگر بار دادههای ثانویه را دریافت نخواهند کرد. بااینحال، دستگاههایی که قبل از، از کار افتادن سرورهای C2 در معرض خطر قرار گرفته بودند، همچنان مونرو استخراج خواهند کرد.
پژوهشگران نتیجهگیری کردند که یکی از ویژگیهای جالب باتنت VictoryGate این است که نسبت به پویشهای مشابه قبلی تلاش بیشتری برای جلوگیری از شناسایی انجام میدهد.
همچنین با توجه به اینکه botmaster میتواند عملکرد بار دادههایی را که در دستگاههای آلوده بارگیری و اجرا میشوند بهروزرسانی کند، خطر قابل توجهی ایجاد میکند.