مجرمان سایبری بدافزار جدیدی را ساخته اند که کامپیوترهای ویندوزی را هدف گرفته است، این بدافزار فاقد فایل قادر است در حافظه اجرا شده، در ادامه کامپیوتر را به تسخیر خود درآورده و از آن جهت استفاده در زمینه استخراج ارزهای مجازی استفاده می‌کند.

این بدافزار جدید قادر است تا کامپیوتر کاربر را به یک گاو شیرده تبدیل کرده و بدون اطلاع کاربر، کامپیوتر در خدمت استخراج ارزهای مجازی نظیر بیت کوین مورد سو استفاده قرار می‌گیرد. محققان امنیتی موسسه Trend Micro اعتقاد دارند دو ویژگی باعث تمایز این بدافزار با نمونه های مشابه شده است، مورد اول پنهان کاری فوق العاده و قابلیت دیگر ماندگاری آن است.

این بدافزار برای نفوذ به کامپیوتر حفره امنیتی EternalBlue که پیش از این توسط باج افزار واناکرای و نات پتیا مورد استفاده قرار گرفته بود را به کار می‌گیرد و از طریق همین حفره امنیتی گسترش پیدا می‌کند. بنابراین اگر کامپیوتر شما ویندوز ۱۰ را اجرا می‌کند و آخرین به‌روزرسانی ها را دریافت کرده اید، دیگر جای نگرانی در این زمینه وجود ندارد، چرا که مایکروسافت در ماه مارس یک وصله امنیتی را منتشر کرده بود که این نقص امنیتی را برطرف ساخت.

در دستگاه هایی که دارای این حفره امنیتی هستند، بدافزار درب پشتی را اجرا کرده که باعث می‌شود چندین اسکریپت ابزار مدیریت ویندوز یا WMI نصب گردند و در حافظه اجرا شوند، این مسئله باعث می‌شود تا شناسایی این بدافزار دشوارتر گردد. مسئولان IT می‌توانند با استفاده از WMI اسکریپت هایی را اجرا کنند که وظایف اجرایی را به‌صورت خودکار و از راه دور در دست می‌گیرند.

البته در صورت اجرای این فرامین جهت نجات کامپیوتر، این بدافزار دست به اقدامات خرابکارانه بیشتری می‌زند، از جمله این اقدامات می‌توان به اتصال کامپیوتر به دامین فرمان و نظارت مهاجمین اشاره کرد، در چنین وضعیتی نرم افزارهای استخراج و دیگر بدافزارها روی سیستم نصب خواهند شد.

بدافزارهای میتنی بر WMI پدیده جدیدی نیستند، این شکل از نفوذ برای اولین بار در بدافزار استاکس نت مشاهده شد. گروه امنیتی FireEye نیز گروه هکری پیشرفته ای با نام  APT29 را شناسایی کرده اند که از قابلیت های WMI برای ایجاد درب های پشتی ماندگار و مخفی استفاده می‌کنند.

موسسه Malwarebytes نیز تکنیکی مشابه را پیدا کرده اند که در نتیجه آن، کاربر هنگام مرور وب با مرورگرهای کروم و فایرفاکس به‌صورت اتوماتیک به سایت مدنظر مهاجم هدایت می‌شود.

همانطور که پیشتر اشاره کردیم، اگر کامپیوتر شما در حال اجرای ویندوز ۱۰ است و آخرین به‌روزرسانی ها را دریافت کرده است، خطری شما را تهدید نمی‌کند، اما اگر کامپیوتری دارید که قدیمی است و یا امکان دریافت به‌روزرسانی را ندارید، برای پیشگیری از آلودگی با این بدافزار می‌توانید پروتوکل اشتراک گذاری فایل SMBv1 را غیر فعال کنید تا دیگر نگران حملات مبتنی بر حفره امنیتی EternalBlue نباشید.

منبع :

ZDNET

650 پست
محسن توکلی
او لیسانس میکروبیولوژی از دانشگاه آزاد تهران شمال دریافت کرده است. به ادبیات، عرفان، فناوری علاقه ی وافری دارد و سعی میکند اغلب اوقات فراغت خودش را صرف خدمت به خانواده و مطالعه شعر کند. محسن اکنون یکی از دبیران وبسایت وینفون است.
مطالب مرتبط
دیدگاه کاربران
هنوز دیدگاهی ثبت نشده
برای نوشتن دیدگاه می توانید به حساب کاربری خود وارد شوید ورود ارسال نظر به صورت مهمان
برچسب ها: , , , , , , , , , , , , , , ,