تحقیقات جدید نشان داده است که بدافزار استخراج ارز دیجیتال از سال 2019 به طور مخفیانه به صدها هزار رایانه در سراسر جهان حمله کرده است. این بدافزار اغلب به عنوان برنامههای قانونی مانند گوگل ترنسلیت ظاهر میشود. این بدافزار مخرب که به عنوان نرم افزار دسکتاپ قانونی ارائه شده است، هزاران دستگاه در 11 کشور را آلوده کرده و آنها را مجبور به استخراج ندانسته مونرو کرده است.
بدافزار ماینر ارز دیجیتال
در گزارش 29 اوت Check Point Research، تیم تحقیقاتی ارائهدهنده خدمات امنیت سایبری آمریکایی-اسرائیلی، Check Point Software Technologies فاش کرد که این بدافزار به لطف طراحی موذیانهاش که نصب بدافزار استخراج را برای هفتهها پس از دانلود نرمافزار اولیه به تاخیر میاندازد، مدت زیادی که به آلوده کردن دستگاهها میپردازد.
.@_CPResearch_ detected a #crypto miner #malware campaign, which potentially infected thousands of machines worldwide. Dubbed ‘Nitrokod,” the attack was initially found by Check Point XDR. Get the details, here: https://t.co/MeaLP3nh97 #cryptocurrecy #TechnologyNews #CyberSec pic.twitter.com/ANoeI7FZ1O
— Check Point Software (@CheckPointSW) August 29, 2022
این بدافزار که با یک توسعهدهنده نرمافزار ترکزبان که مدعی است «نرمافزار رایگان و ایمن» ارائه میکند، مرتبط است، از طریق نسخههای دسکتاپ تقلبی برنامههای محبوب مانند YouTube Music، Google Translate و Microsoft Translate به رایانههای شخصی حمله میکند.
هنگامی که یک مکانیسم برنامه ریزی شده فرآیند نصب بدافزار را آغاز میکند، به طور پیوسته چندین مرحله را طی چند روز طی کرده که به راه اندازی عملیات استخراج مخفیانه Monero (XMR) منجر میشود.
این شرکت امنیت سایبری اعلام کرد که ماینر ارز دیجیتال مستقر در ترکیه موسوم به “Nitrokod” ماشینهای 11 کشور را آلوده کرده است.
طبق گزارش CPR، سایتهای دانلود نرمافزار محبوب مانند Softpedia و Uptodown دارای موارد جعلی تحت نام ناشر “Nitrokod INC” بودهاند.
برخی از برنامه ها مانند نسخه دسکتاپ جعلی Google Translate در سافت پدیا صدها هزار بار دانلود شده بودند. این در حالی بود که حتی با وجود نداشتن نسخه رسمی دسکتاپ گوگل برای آن برنامه، نزدیک به هزار کامنت و به طور میانگین امتیاز ستاره 9.3 از 10 را کسب کرده بود.
طبق گفتههای Check Point Software Technologies، ارائه نسخه دسکتاپ برنامهها بخش کلیدی کلاهبرداری است.
اکثر برنامههای ارائه شده توسط Nitrokod نسخه دسکتاپ ندارند، و این باعث میشود که نرمافزار تقلبی برای کاربران جذاب شود.
به گفته مایا هوروویتز، معاون تحقیقات Check Point Software، بدافزارهای جعلی پاک شده «با یک جستجوی ساده در وب» در دسترس هستند.
آنچه برای من جالب است این واقعیت است که این نرم افزار مخرب بسیار محبوب است، اما برای مدت طولانی تحت پوشش قرار گرفته است.
تا زمان نگارش، برنامه جعلی Google Translate Desktop Nitrokod یکی از نتایج اصلی جستجو باقی مانده است.
نقش طراحی در جلوگیری از تشخیص
شناسایی این بدافزار بسیار دشوار است، زیرا حتی زمانی که کاربر نرمافزار ساختگی را راهاندازی میکند، همان عملکردهایی را که برنامه قانونی ارائه میدهد، تقلید میکنند.
اکثر برنامههای هکرها به راحتی از صفحات وب رسمی با استفاده از چارچوب مبتنی بر کرومیوم ساخته میشوند و به آنها اجازه میدهد تا برنامههای کاربردی بارگذاری شده با بدافزار را بدون توسعه از ابتدا گسترش دهند.
تاکنون بیش از صد هزار نفر در اسرائیل، آلمان، بریتانیا، آمریکا، سریلانکا، قبرس، استرالیا، یونان، ترکیه، مغولستان و لهستان طعمه این بدافزار شدهاند.
، هوروویتز میگوید، برای جلوگیری از کلاهبرداری توسط این بدافزار و سایر بدافزارها چندین نکته امنیتی اساسی میتواند به کاهش خطر کمک کند.
مراقب دامنه های مشابه، اشتباهات املایی در وب سایتها، و فرستندههای ایمیل ناآشنا باشید. نرم افزار را فقط از ناشران یا فروشندگان مجاز و شناخته شده دانلود کنید و اطمینان حاصل کنید که سرویس امنیتی دستگاه شما به روز است و محافظت جامع را ارائه میدهد.
منبع: Cointelegraph
پاسخ