پنهان‌سازی بدافزار ارز کاوی در قالب فایل‌های اصلی ویندوز

به گزارش کارگروه فناوری اطلاعات سایبربان؛ محققان کمپانی «ترند میکرو» اخیرا دریافته اند که بدافزاری به نام Coinminer تعداد زیادی از کاربران را هدف ارزکاوی مخفیانه قرار داده است. آنچه که شناسایی این حمله را پیچیده تر می سازد استفاده Coinminer از روش های پنهانکاری خاص است.

بر اساس این گزارش بدافزار مورد بحث به عنوان فایل MSI نصب کننده (اینستالر) ویندوز وارد سیستم قربانی می شود و این امر اهمیت بالایی دارد چرا که ویندوز اینستالر یکی از مهم ترین فایل های ویندوز است که برای نصب نرم افزار مورد استفاده قرار می گیرد. استفاده از اجزای اصلی ویندوز شک ها را از Coinminer دور کرده و به صورت بالقوه امکان عبور از فیلترهای امنیتی خاص را به آن می دهد. تردستی های هکرها به اینجا ختم نمی شود و پس از نصب Coinminer برخی اسکریپت های آن مانع اجرای فرایندهای شناسایی و حذف بدافزارها می شوند. علاوه بر این هکرها برای جلوگیری از هرگونه ردیابی احتمالی تجزیه و تحلیل توسط محققان امنیتی سازوکار خود تخریبی را در این بدافزار عجیب تعبیه کرده اند. این سازوکار پس از فعال شدن تمام فایلهای موجود در دایرکتوری نصب را پاکسازی می کند.

اگرچه کارشناسان ترند میکرو نتوانسته اند منشا حملات را به کشور خاصی ربط دهند اما با بررسی فایل ها متوجه استفاده از الفبای سیریلیک شده اند که در روسیه و بلغارستان و اوکراین کاربرد دارد.

سال گذشته و همزمان با افزایش چشمگیر بهای ارزهای مجازی کارشناسان امنیتی از احتمال افزایش تلاش هکرها برای سرقت و استخراج این ارزها به روش های مختلف خبر دادند که در عمل نیز شاهد آن هستیم و مجرمان سایبری برای استفاده غیرمجاز از منابع سخت افزاری کاربران به منظور ارزکاوی به روش هایی نظیر مخفی کردن آن در قالب آپدیت قانونی فلش پلیر روی آورده اند.