حافظه‌های USB مخرب ۳۵ هزار رایانه را با بات‌نت استخراج رمزارز آلوده کردند

پژوهش‌گران امنیت سایبری ESET بیان کردند که بخشی از یک بات‌نت بدافزاری را که حداقل ۳۵ هزار سیستم ویندوزی را در معرض خطر قرار داده است و مهاجمان به‌طور مخفیانه برای استخراج رمزارز مونرو از آن استفاده می‌کنند، از کار انداختند.

این بات‌نت با نام VictoryGate از ماه مِه سال ۲۰۱۹ میلادی فعال است و آلودگی‌های آن عمدتاً در امریکای لاتین گزارش شده است که به‌طور خاص پِرو ۹۰ درصد از دستگاه‌های آسیب‌دیده را در بر می‌گیرد.

ESET بیان کرد که فعالیت اصلی این بات‌نت استخراج رمزارز مونرو است. قربانیان شامل سازمان‌های بخش خصوصی و دولتی ازجمله مؤسسات مالی هستند.

ESET بیان کرد که با شرکت ارائه‌دهنده‌ی DNS پویای No-IP همکاری کرده است تا سرورهای فرمان و کنترل مخرب را از کار بیندازد و دامنه‌های جعلی برای نظارت بر فعالیت این بات‌نت ایجاد کند.

داده‌ها نشان می‌دهد که در طول ماه فوریه و مارس سال جاری بین ۲ هزار تا ۳٬۵۰۰ رایانه‌ی آلوده به‌صورت روزانه  به سرورهای C2 متصل شده‌اند.

به‌گفته‌ی پژوهش‌گران ESET، بات‌نت VictoryGate از طریق دستگاه‌های قابل جابجایی مانند حافظه‌های USB منتشر می‌شود که در صورت اتصال به دستگاه قربانی، یک بار داده‌ی مخرب را در سیستم نصب می‌کند.

علاوه‌برآن، این ماژول با سرور C2 نیز ارتباط برقرار می‌کند تا یک بار داده‌ی ثانویه را دریافت کند که کد دلخواه را در فرآیندهای قانونی ویندوز مانند معرفی نرم‌افزار استخراج XMRig به فرآیند ucsvc.exe تزریق کند و درنتیجه استخراج مونرو را تسهیل کند.

پژوهش‌گران بیان کردند که براساس داده‌های جمع‌آوری‌شده می‌توان گفت که به‌طور میانگین ۲ هزار دستگاه وجود دارند که در طول روز مونرو استخراج می‌کنند. در صورتی که میانگین نرخ هش ۱۵۰ هش در ثانیه تخمین زده شود، می توان گفت که نویسندگان این پویش حداقل ۸۰ مونرو را تنها از طریق این بات‌نت جمع‌آوری کرده‌اند.

ESET هشدار داد که با استفاده از حافظه‌های USB به‌عنوان یک بردار تکثیر ممکن است آلودگی‌های جدیدی در آینده رخ دهد. اما با وجود حفره‌های امنیتی قابل توجه در زیرساخت C2، این بات‌نت‌ها دیگر بار داده‌های ثانویه را دریافت نخواهند کرد. بااین‌حال، دستگاه‌هایی که قبل از، از کار افتادن سرورهای C2 در معرض خطر قرار گرفته بودند، همچنان مونرو استخراج خواهند کرد.

پژوهش‌گران نتیجه‌گیری کردند که یکی از ویژگی‌های جالب بات‌نت VictoryGate این است که نسبت به پویش‌های مشابه قبلی تلاش بیشتری برای جلوگیری از شناسایی انجام می‌دهد.

همچنین با توجه به این‌که botmaster می‌تواند عملکرد بار داده‌هایی را که در دستگاه‌های آلوده بارگیری و اجرا می‌شوند به‌روزرسانی کند، خطر قابل توجهی ایجاد می‌کند.

منبع

پست‌های مشابه

Leave a Comment