حمله جدید کریپتوچکینگ مخفیانه به سیستم‌های ویندوز: چگونه هکرها با فناوری‌های پیشرفته رمزارزهای شما را سرقت می‌کنند

شرکت امنیت سایبری دارتی‌تراپ (Darktrace) گزارشی درباره یک کمپین جدید کریپتوچکینگ (cryptojacking) منتشر کرد که هدف آن فریب سیستم‌های مبتنی بر ویندوز و نصب نرم‌افزار ماینینگ ارز دیجیتال است، به طوری که بتواند از دفاع‌های ویندوز، به ویژه ویندوز دیفندر (Windows Defender)، عبور کند.

در این حمله، که نخست در اواخر تیرماه شناسایی شد، زنجیره‌ای چندمرحله‌ای از عفونت‌ها به آرامی و بدون جلب توجه، قدرت پردازشی کامپیوتر قربانی را برای استخراج رمزارز به کار می‌گیرد. محققان دارتی‌تراپ، کیانا گلیچا (Keanna Grelicha) و تارا گولد (Tara Gould)، در گزارشی مشترک با سایت crypto.news، توضیح دادند که این کمپین به طور خاص سیستم‌های مبتنی بر ویندوز را هدف قرار می‌دهد و از طریق بهره‌برداری از PowerShell، زبان اسکریپت‌نویسی و خط فرمان داخلی مایکروسافت، اقدام به اجرای اسکریپت‌های مخرب می‌کند. این اسکریپت‌ها به گونه‌ای طراحی شده‌اند که مستقیماً در حافظه RAM سیستم اجرا شوند، بنابراین ابزارهای آنتی‌ویروس سنتی که بر شناسایی فایل‌ها در هارد دیسک تمرکز دارند، نمی‌توانند این فرآیند مخرب را تشخیص دهند.

در مرحله بعد، مهاجمان با استفاده از زبان برنامه‌نویسی AutoIt، که عموماً توسط مدیران فناوری اطلاعات برای خودکارسازی وظایف مورد استفاده قرار می‌گیرد، یک لودر مخرب را به فرآیندهای معتبر ویندوز تزریق می‌کنند. این لودر سپس بدون اثر مشخص بر روی سیستم، برنامه ماینینگ رمزارز را دانلود و اجرا می‌کند.

برای افزایش امنیت، لودر مخرب بررسی‌هایی مانند شناسایی محیط‌های شبیه‌ساز (sandbox) و بررسی نصب بودن آنتی‌ویروس‌های سیستم را انجام می‌دهد. اجرای مخرب تنها در صورتی ادامه می‌یابد که ویندوز دیفندر تنها محافظ فعال باشد و کاربر حساب کاربری دارای امتیازات مدیریتی نباشد؛ در این صورت، برنامه تلاش می‌کند تا از طریق bypass کنترل حساب کاربری (UAC)، امتیازات سطح بالا را کسب کند.

در صورت تحقق این شرایط، نرم‌افزار مخرب، ابزار NBMiner را دانلود و اجرا می‌کند. این ابزار که در حوزه ماینینگ رمزارزها شناخته شده است، از کارت‌های گرافیک سیستم برای استخراج رمزارزهایی مانند ریون کوین (Ravencoin) و مونرو (Monero) بهره می‌برد.

دارتی‌تراپ توانست با سیستم پاسخ خودکار (Autonomous Response) خود، این حمله را مهار کند؛ از جمله با جلوگیری از برقراری ارتباطات خروجی و مسدود کردن مسیرهای ارتباطی مشکوک.

در پایان، محققان این شرکت هشدار دادند که با توجه به رشد روزافزون بازار رمزارزها و ارزش تقریبی بازار جهانی آن که در حال حاضر نزدیک به چهار تریلیون دلار است، تهدیدات ناشی از کریپتوچکینگ همچنان افزایش خواهد یافت و مهاجمان این حوزه را به سودآوری در این عرصه ترغیب می‌کند.

حملات سرقت رمزارز از طریق مهندسی اجتماعی

در تیرماه، شرکت دارتیس (Darktrace) گزارشی از یک کمپین جداگانه منتشر کرد که در آن عوامل مخرب از تاکتیک‌های پیچیده مهندسی اجتماعی بهره می‌بردند. این افراد با جعل هویت شرکت‌های معتبر، کاربران را فریب می‌دادند تا نرم‌افزارهای تغییر یافته‌ای را دانلود کنند که به صورت مخفیانه تروجان‌های سرقت رمزارز را اجرا می‌کردند.

بر خلاف طرح‌های کریپتوچکینگ (cryptojacking) که معمولاً بر سرورهای وب و دستگاه‌های خاص متمرکز است، این حمله هر دو سیستم‌عامل ویندوز و مک‌او‌اس (macOS) را هدف قرار می‌داد. جالب آنکه قربانیان در این سناریو، خود قربانیان بی‌اطلاع بودند و تصور می‌کردند در حال تعامل با کارمندان داخلی شرکت‌ها هستند. این نوع حمله نشان می‌دهد که تهدیدات مهندسی اجتماعی در حوزه رمزارزها همچنان رو به افزایش است و نیازمند هوشیاری و آموزش بیشتر کاربران است.

منبع: کریپتو.نیوز