کشف بدافزاری با درآمد میلیون دلاری

به گزارش فاواپرس به نقل از مرکز مدیریت راهبردی افتا، محققان سیمانتک، این بدافزار را که از نوع تروجان است، بدافزار Clipminer نام‌گذاری کرده‌اند. تروجان مورداستفاده در این حملات شباهت‌های زیادی با یک تروجان استخراج رمزارز دیگر به نام KryptoCibule دارد و به نظر می‌رسد یک رونوشت از آن یا نسخه‌ تکامل‌یافته آن باشد.

محققان بر این باورند که احتمالاً بدافزار Clipminer از طریق نرم‌افزارهای قفل‌شکسته و غیرمجاز منتشر می‌شود. بدافزار از طریق یک فایل فشرده WinRARاز نوع Self-extract بر روی کامپیوتر‌ قربانی قرار می‌گیرد و یک فایل دریافت‌کننده (Downloader) از نوع DLL فشرده و با پسوند CPL را دریافت و اجرا می‌کند. فایل دریافت‌کننده به‌منظور دریافت مؤلفه‌های تروجان Clipminer به شبکه Tor متصل می‌شود.

بدافزار Clipminer این قابلیت را دارد که از منابع کامپیوتر‌های قربانی برای استخراج رمزارزها استفاده کند. این بدافزار همچنین اطلاعات Clipboard را به‌منظور تغییر مسیر تراکنش‌های ارزهای دیجیتال، تغییر می‌دهد.

هر بار که محتوای clipboard تغییر می‌کند، محتوای جدید را جهت شناسایی نشانی‌های کیف پول دیجیتال بررسی می‌کند و قادر به شناسایی بیش از ده نوع نشانی ارز دیجیتال است. سپس همان‌طور که در تصاویر نشان‌داده‌شده، نشانی‌های شناسایی شده با نشانی‌های کیف پول دیجیتالی که توسط مهاجم کنترل می‌شود، جایگزین می‌شوند.

بدافزار Clipminer محتوای clipboard کامپیوتر قربانی را برای شناسایی نشانی‌های کیف پول رمزارز تحت‌نظر داشته و آنها را با نشانی‌ کیف‌های پول خود جایگزین می‌کند.

بدافزار Clipminer کنترل clipboard کامپیوتر قربانی را به دست گرفته و نشانی‌ کیف‌های پول قربانی را با نشانی کیف‌های پول خود عوض می‌کند.

برای اکثر کیف‌های پول، مهاجمان چندین نشانی کیف پول جایگزین برای انتخاب دارند. بدافزار، نشانی را انتخاب می‌کند که با پیشوند نشانی واقعی که باید جایگزین شود، مطابقت دارد. به‌این‌ترتیب، قربانی کمتر متوجه دست‌کاری نشانی کیف پول دیجیتال می‌شود و احتمالاً تراکنش خود را انجام می‌دهد.

این بدافزار در مجموع دارای ۴۳۷۵ نشانی منحصربه‌فرد برای کیف پول‌های دیجیتالی که توسط مهاجم کنترل می‌شود، در اختیار دارد. از این تعداد، ۳۶۷۷ نشانی فقط برای سه فرمت مختلف از نشانی‌های بیت‌کوین مورداستفاده قرار می‌گیرد.

محققان فقط با بررسی نشانی‌های کیف پول بیت‌کوین و اتریوم، متوجه شدند که در زمان نگارش این مقاله، این کیف‌های پول تقریباً ۳۴.۳ بیت‌کوین و ۱۲۹.۹ اتریوم داشتند. بااین‌حال، به نظر می‌رسد مقداری از ارزهای دیجیتال نیز برای عدم ردیابی آنها به سرویسی با نام Tumbler یا Mixing Service منتقل شده است. کارشناسان تخمین زده‌اند که با احتساب وجوهی که به این سرویس‌ها منتقل شده، گردانندگان این تروجان به طور بالقوه حداقل ۱.۷ میلیون دلار تنها از سرقت ارز دیجیتال از طریق تغییر اطلاعات Clipboard به دست آورده‌اند.

بدافزار Clipminer اولین‌بار در دی‌ماه ۱۳۹۹ ظاهر شد و کیفهای پول‌ گردانندگان آن در بهمن همان سال فعال شدند. در آن زمان تنها چند ماه از شناسایی بدافزار KryptoCibule توسط محققان شرکت ای‌ست (ESET, LLC.) گذشته بود. باوجوداینکه محققان نمی‌توانند با اطمینان کامل تأیید کنند که آیا Clipminer و KryptoCibule یک بدافزار واحد هستند یا خیر، اما شباهت‌های طراحی آن دو قابل‌توجه است.

این احتمال وجود دارد که به دنبال انتشار گزارش محققان ای‌ست و شناسایی KryptoCibule، مهاجمان KryptoCibule تصمیم گرفته باشند که همه چیز را تغییر دهند و Clipminer را راه‌اندازی کنند. احتمال دیگر این است که مهاجمان دیگر از KryptoCibule الهام گرفته و Clipminer را همانند آن ایجاد کرده باشند. بااین‌حال، حقیقت هر چه که باشد، واضح است که Clipminer موفق شده برای صاحبان خود مقدار قابل‌توجهی درآمد کسب کند.

آخرین به‌روزرسانی‌ها و اصلاحیه‌های امنیتی در خصوص این تروجان، در این جا دریافت است.