کشف بدافزار استخراج ارز با پردازشگر قربانیان

به تازگی آزمایشگاه مک آفی (McAfee) بدافزار جدیدی با نام Web Cobra را کشف کرده که از قدرت پردازش سیستم قربانیان برای کاوش ارز دیجیتالی استفاده می‌کند.

به گزارش مرکز افتا، بدافزار Web Cobra بسته به نوع معماری که تشخیص دهد، به صورت مخفیانه کاوشگر Cryptonight یا Claymore’s Zcash را نصب می‌کند. دامنه آلودگی این بدافزار در سراسر جهان در روزهای ۱۸ الی ۲۲ شهریور بوده و بیشترین آلودگی‌ها مربوط به کشورهای برزیل، آفریقای جنوبی و ایالات متحده است.

منتقل کننده بدافزار، یک نصب کننده مایکروسافت است که محیط سیستم را بررسی می‌کند. به نحوی که در سیستم‌های x86 کاوشگر Cryptonight نصب می‌شود و در سیستم‌های x64 کاوشگر Claymore’s Zcash از یک سرور راه دور، بارگیری و نصب می‌شود. پس از آن در ادامه یک فایل CAB در سیستم بارگذاری می‌شود که حاوی بدنه bin و یک فایل DLL برای رمزگشایی بدنه است.

بدنه بدافزار دارای قابلیت‌های ضد دیباگ، ضد شبیه‌سازی و ضد محیط‌های سندباکس است و از این رو، برای مدت طولانی به صورت ناشناخته در سیستم باقی می‌ماند.

در سیستم‌های x86 بدافزار به فرآیند پردازشی svchost.exe نفوذ می‌کند و فرآیند کاوش ارز را انجام می‌دهد. اما در سیستم‌های x64 تنها در صورتی فرآیند کاوش ارز انجام می‌شود کهWireshark در سیستم شناسایی نشود و پردازنده گرافیکی قربانی یکی از سه مدل Radeon، Nvidia و Asus باشد.اخبار 24 ساعت گذشته رکنا را از دست ندهید