مایکروسافت در یک پست وبلاگی اعلام کرد بدافزاری که از طریق فلش مموریهای USB (کولدسک) منتشر میشود، از ماه فوریه در حال آلوده کردن کامپیوترهای شخصی ویندوزی و هدف قرار دادن کیف پولهای ارز دیجیتال بوده است.
این شرکت، بدافزار مذکور را یک «کریپتو کلیپر» (Crypto Clipper – رباینده رمزارز) مینامد و آنتیویروس دیفندر (Defender) آن را با نام Trojan:Win32/CryptoBandits شناسایی میکند.
این فرآیند با یک فلش مموری آلوده شروع میشود که حاوی یک فایل شورتکات (میانبر) یا لینک مخرب است. در سیستمعامل ویندوز، نام فایلهای شورتکات به پسوند lnk. ختم میشود و به سیستمعامل دستور میدهند تا برنامه، پوشه یا فایل خاصی را که در جای دیگری از کامپیوتر شما ذخیره شده است، باز کند.
هنگامی که کاربر آن فلش مموری را متصل کرده و روی شورتکات کلیک میکند، نوعی بدافزار معروف به «کِرم» (Worm) روی کامپیوتر نصب میشود. این کرم پس از نصب، دو کار را انجام میدهد: به طور مداوم کد مربوط به سرقت کیف پول رمزارز را اجرا میکند و همزمان منتظر میماند تا یک فلش مموری جدید و پاک به همان کامپیوتر متصل شود.
بخش سرقت کیف پول این بدافزار، هر ۵۰۰ میلیثانیه یکبار «کلیپبورد» (Clipboard) ویندوز را مانیتور میکند (همان حافظه موقت و پنهانی که برای عملیات کپی و پیست استفاده میشود). وقتی کاربر یک «کد بازیابی» (Seed Phrase) یا یک «کلید خصوصی» (Private Key) مربوط به کیف پول بیتکوین یا اتریوم را کپی میکند، بدافزار آن دادهها را میرباید و از طریق شبکه تور (Tor – یک شبکه لایهای متنباز برای ارتباطات ناشناس)، به سرور مهاجم ارسال میکند. این بدافزار همچنین پنج اسکرینشات به فاصله ۱۰ ثانیه از یکدیگر میگیرد و آنها را نیز ارسال میکند.
خطر به همینجا ختم نمیشود!
اگر کاربر آدرس کیف پول گیرندهای را کپی کند تا برای او مبالغی واریز کند، این کرم مخرب پیش از آنکه کاربر آدرس را پیست (Paste) کند، به طور مخفیانه آن را با آدرس متعلق به مهاجم جایگزین میکند؛ در نتیجه، تراکنش بدون هیچ نشانه ظاهری و مشهودی به حساب مهاجم واریز میشود.
در نهایت، زمانی که یک فلش مموری پاک به کامپیوتر متصل میشود، این کرم تکثیر مییابد. بدافزار فلش مموری جدید را برای یافتن فایلهای معمولی، اسناد ورد (Word)، شیتهای اکسل (Excel) و فایلهای PDF اسکن کرده، آنها را با فایلهای شورتکات جدیدی با همان نامها جایگزین میکند و فلش را آلوده میسازد. سپس این چرخه مجدداً تکرار میشود.
مایکروسافت توصیه میکند که قابلیت اجرای خودکار (AutoRun) را برای حافظههای جانبی غیرفعال کنید، اجرای فایلهای lnk. را روی فلش مموریها از طریق سیاستهای گروهی (Group Policy) مسدود نمایید و دسترسی ابزارهای اجرای اسکریپت مانند wscript.exe و cscript.exe را محدود کنید. مشتریان مایکروسافت دیفندر همچنین میتوانند کوئریهای شکار تهدید (Hunting Queries) را برای بررسی فعالیتهای مرتبط، از جمله اتصال به پراکسی محلی تور روی پورت ۹۰۵۰، اجرا کنند.
مایکروسافت فهرستی از «شاخصهای آلودگی» (IoC)، شامل هش فایلها و دامنههای با پسوند onion. که به عنوان سرورهای فرماندهی و کنترل (C2) استفاده میشوند را منتشر کرده است تا تیمهای امنیتی بتوانند شبکههای خود را در برابر آنها بررسی کنند.
منبع: Coindesk

1 دیدگاه
Pingback: بزرگترین ربات «ساندویچی» اتریوم در یک عملیات هک، ۷.۵ میلیون دلار تخلیه شد! - اروویژن