عرضه نسخه جدید کیت «برداشت ارز مجازی»
به گزارش واحد امنیت سایبربان؛ نسخه جدید برای آنکه ارزهای مجازی را استخراج کند از پلتفرمهای مختلفی استفاده میکند.
درحالیکه نسخههای قدیمی کیت sundown از مکانیزمهای ویژه بهمنظور پنهانسازی فعالیتهای خرابکارانه در قالب فایلهای تصویری استفاده میکردند در نسخه جدید از یک صفحه ساده جاوا اسکریپت استفادهشده است. در کیتهای قبلی از الگوی درهمسازی استفاده میشد ولی در نسخه جدید خبری از این تکنیکها نیست. درحالیکه این کیت بهرهبرداری روی سراچههای مختلفی میزبانی میشود، اما آدرس IP تمامی این سایتها یکسان است. به همین دلیل کارشناسان شرکت MalwareBytes گفتهاند که به نظر میرسد تنها یک نفر در ارتباط با این کیت مشغول به کار است و به همین دلیل تلاش آنچنانی بهمنظور پنهانسازی این کیت اکسپلویت از خود نشان نمیدهد.
الگوی رفتاری این کیت نشان میدهد زمانی که روی ماشین قربانی نصب میشود، سعی میکند خودش را در قالب یکی از فرآیندهای رایج ویندوز همچون Windows Backup به کاربر نشان دهد تا او را فریب دهد. در ادامه سعی میکند به اینترنت متصل شده و دستورالعملهای موردنیاز برای استخراج ارز را دانلود کند. دادههایی که دانلود میشوند در قالب فایل فشرده UPX دریافت میشوند. این برنامه با یک حساب کاربری در سایت Pastebin به نام LoveMonero و همچنین حساب کاربری با همین نام در گیتهاب در ارتباط است. هکر (ها) با استفاده از این ابزار تنها میتوانند ارز مجازی Monero و نه بیت کوین را برداشت کنند. MalwareByte دراینارتباط گفته است: «انتخاب این ارز یک انتخاب هوشمندانه بوده است. بهواسطه آنکه مخزن مربوط به تراکنشهای ارز مجازی بیتکوین بیشتر و بیشتر اشباع شدهاند و همین موضوع استخراج آنها را بیشازپیش سختتر و پیچیدهتر کرده است؛ اما در مقابل Monero ارز نوپایی است که در ابتدای راه خود قرار دارد.»
کدهای این کیت استخراجکننده در گیتهاب قرارگرفتهاند. جالب آنکه فایلهای مربوط به این کیت استخراجکننده بهطور پیوسته و منظم از سوی هکر(ها) بهروزرسانی میشود. مخزنی که برای این کیت استخراجکننده در گیتهاب ساختهشده است حاوی لینکهایی است که بهمنظور اسکن و دانلود بدافزار مورداستفاده قرار میگیرند. پژوهشگران Malwarebytes اطلاع پیداکردهاند که این پروژه بر مبنای یک پروژه متنباز برداشت ارزهای مجازی موسوم به ccminer-cryptonight پایهگذاری شده و تنها چند تغییر جزئی در اصل پروژه به وقوع پیوسته است.
Malwarebytes گفته است: «طراحی این کیت کاملاً عجیب است. به دلیل اینکه کاملاً غیرحرفهای بوده و ردپاهای زیادی از طراح و حساب کاربری او در گیتهاب وجود دارد. همین موضوع نشان میدهد که طراح این بدافزار یک فرد مبتدی بوده است. با توجه به اینکه چند وقتی است سورس کدهای مربوط به بدافزارها و باجافزارهای معروفی همچون ابزار پیادهسازی حمله توزیعشده (Mirai) و ابزار باجافزارنویسی همچون HiddenTear و Eda2 بهطور عمومی در دسترس همه کاربران قرارگرفته است، ما هرروزه شاهد آن هستیم که هر کاربر مبتدی تصمیم میگیرد این کدها را دانلود کرده و فرآیند بدافزار نویسی را آزمایش کند».