کیت بهره‌برداری Sundown ابزارِ استخراج ارز مجازی توزیع می‌کند

محققان امنیتی هشدار دادند نسخه‌ی جدیدی از کیت بهره‌برداری Sundown کشف شده است. در این نسخه‌ی جدید از زیرساخت‌های متفاوتی برای توزیع استخراج‌کننده‌های ارز مجازی استفاده می‌شود.

برخلاف نسخه‌‌های قبلی این کیت بهره‌برداری، در نسخه‌ی جدید از یک صفحه‌ی ساده‌ی جاوا اسکریپت استفاده شده است. اخیراً در خبری گزارش دادیم که نسخه‌های قبلی کیت بهره‌برداری Sundown از روش‌های نهان‌نگاری برای مخفی کردن بهره‌برداری‌ها در داخل پرونده‌های تصویری استفاده می‌کند.

در حالی‌که قبلاً صفحاتی که برای میزبانی این کیت بهره‌برداری استفاده می‌شد، از روش‌های مبهم‌سازی بهره می‌برد ولی در نسخه‌ی جدید چنین چیزی وجود ندارد. این کیت بهره‌برداری بر روی دامنه‌هایی میزبانی می‌شود که همگی متعلق به آدرس IP یکسانی هستند.
محققان امنیتی معتقدند تنها یک نفر پشت این پویش بهره‌برداری است و تلاش بسیار کمی برای مخفی کردن بهره‌برداری‌های این کیت می‌کند. محققان همچنین متوجه شدند بر روی ماشین آلوده، کیت بهره‌برداری تلاش می‌کند با جا زدن خودش به جای فرآیندی مانند Windows Backup، قربانی را گمراه کند.

کد مخرب تلاش می‌کند یک ارتباط اینترنتی را برقرار کرده و مجموعه‌ای از پارامترها را برای برنامه‌ی استخراج‌کننده‌ی ارز مجازی بارگیری نماید. بار داده‌ای که تحویل ماشین قربانی می‌شود یک پرونده‌ی UPX فشرده است. محققان توانستند این پرونده را تحلیل کرده و دستورات استفاده‌شده در داخل آن را کشف کنند. اینک هدف این ابزار مشخص شده است.

این برنامه به یک حساب کاربری در Pastebin و در گیت‌هاب با شناسه‌ی LoveMonero مرتبط است. این شناسه نشان می‌دهد که از این ابزار برای استخراج ارزِ مجازی Monero به کار می‌رود و نه بیت‌کوین.
محققان امنیتی توضیح دادند: «انتخاب این ارزِ مجازی منطقی به نظر می‌رسد چرا که مخزن تراکنش‌های بیت‌کوین بسیار اشباع‌شده است و امرزوه استخراج آن بسیار سخت بوده و به منابع بسیاری نیاز دارد ولی ارز Monero هنوز جوان است.»

کد منبع این ابزار در یک حساب کاربری گیت‌هاب ذخیره شده است و پیوندی از پارامترهای مربوط به این ابزار نیز در این حساب وجود دارد. محققان همچنین کشف کردند که یکی از این پرونده‌ها تقریباً یک ساعت قبل ویرایش شده است که نشان می‌دهد که این ابزار به‌طور فعال نگهداری می‌شود.

مخزن گیت‌هاب همچنین حاوی پیوندهایی است که در پویش آلودگی، برای بارگیری بدافزار از آن استفاده می‌شود. این پیوندها با پیوندهایی که توسط کیت بهره‌برداری استفاده می‌شود یکسان است. همچنان نشان داده شده که کل این پروژه مبتنی بر یک پروژه‌ی متن‌باز برای استخراج ارز مجازی است. این ابزار ccminer-cryptonight نام دارد و فقط یک سری تغییرات در آن ایجاد شده است.

محققان در نتیجه‌گیری خود گفتند: «این پویش برای ما بسیار عجیب است چرا که در نهایت بی‌دقتی آماده شده است. در این پروژه ردپاهای زیادی از عاملان آن و مشخصات حساب کاربری گیت‌هاب وجود دارد. با انتشار کد منبع ابزارهایی برای حملات منع سرویس توزیع‌شده (بدافزار Mirai) و باج‌افزارها می‌بینیم که افراد تازه‌کار نیز می‌خواهند شانس خود را در حوزه‌ی جرائم سایبری امتحان کنند. این کیت و این نمونه، مثالی از چنین گرایشی است.»

منبع: asis

کانال اخبار فناوری اطلاعات نماد امن

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.