هر آنچه باید درباره بدافزار بیپی (Beapy) بدانید

به گزارش شرکت امنیتی سیمنتک (Symantex) بدافزار بیپی (Beapy) با هدف استخراج رمزارز مونرو (Monero) در منطقه آسیا در حال انتشار است. طبق این گزارش، 80 درصد قربانیان آن در چین مشاهده شده­ اند. همچنین فعالیت­ های این بدافزار در کشورهای دیگری از منطقه آسیا ازجمله کره­ جنوبی، ژاپن و ویتنام نیز مشاهده شده است. این بدافزار بیپی (Beapy) نامیده شده، در قالب یک فایل بر روی سیستم قربانی اجرا می­ شود (اصطلاحاً file-based نامیده می­شود) و برخلاف بسیاری از بدافزارهای استخراج رمزارز به ­صورت افزونه­ (plugin) به مرورگر اضافه نمی­ شود (چنین بدافزارهایی browser-based نامیده می­ شوند). به گفته سیمنتک، بیپی اولین بار در ژانویه سال جاری مشاهده شد و فعالیت آن در ماه مارس افزایش پیدا کرد.

بدافزار بیپی چگونه عمل می‌کند؟

طریقه انتشار بدافزار بیپی ، ارسال فایل اکسل (Excel) محتوی کد مخرب از طریق پست الکترونیک است. اگر کاربر بدون توجه به نکات امنیتی ضمیمه ایمیل را دانلود و اجرا کند یک درب پشتی (backdoor) بر روی سیستم وی دانلود و اجرا می­ شود.

این درب پشتی دابل ­پولسار (DoublePulsar) نام دارد و یکی از ابزارهای جاسوسی سازمان امنیت ملی آمریکا ان‌اس‌ای (NSA) است که در سال 2017 توسط گروهی به نام شدو بروکرز (The Shadow Brokers) به سرقت رفته و به‌صورت عمومی در فضای اینترنت منتشر شده است. دابل­ پولسار سابقاً نیز در حمله معروف باج­ گیر (Ransomware) واناکرای (Wannacry) مورد استفاده قرار گرفته بود.

دابل­ پولسار پس از نصب بر روی سیستم قربانی دسترسی مهاجم به سیستم را فراهم کرده و سپس تکه کد استخراج مونرو را دانلود و اجرا می­کند. بیپی از ابزار لو رفته دیگری از ان‌اس‌ای به نام ایترنال بلو (EthernalBlue) برای انتشار استفاده می ­کند.

ایترنال بلو از یک آسیب­ پذیری در پروتکل اس‌ام‌بی (SMB) در سیستم­ های مایکروسافتی برای اجرای کد مخرب از راه دور استفاده می ­کند. در حال حاضر وصله­ امنیتی برای دفع خطر ایترنال بلو توسط مایکروسافت منتشر شده است ولی با این حال بسیاری از دستگاه‌هایی که به روز نشده­ اند در برابر آن آسیب­ پذیر هستند.

بدافزارهای استخراج رمزارز که کریپتوجکینگ (Cryptojacking) نامیده می­ شوند منابع سیستم قربانی را برای استخراج رمزارز استفاده کرده و بهره­ وری و سرعت دستگاه را کاهش­ می­ دهند. رشد ارزش رمزارزها در سال­ های اخیر هکرها را به سمت توسعه و انتشار انواع کریپتوجکینگ سوق داده است.

مونرو مغلوب کریپتوجکینگ‌ها

مونرو در سال 2014 منتشر شد. یکی از ویژگی­ های موردتوجه این رمزارز حفظ حریم خصوصی کاربران است. این قابلیت مبدأ، مقصد و مقدار تراکنش را از دید دیگران مخفی نگه می­ دارد. به دلیل همین ویژگی، مونرو برای دور زدن نظارت­ های مراجع قانونی و خرید و فروش در دارک­وب (Darkweb) مورد توجه قرار گرفته است.

طبق نتایج یک تحقیق آکادمیک مونرو محبوب­ ترین رمزارز برای استخراج توسط کریپتوجکینگ­ های بوده است و دلیل این امر قابلیت حفظ حریم خصوصی آن بوده که به مخفی­ ماندن مهاجم کمک می­کند. در این تحقیق تخمین زده شده که حداقل 4.32 درصد از مونرو منتشر شده توسط کریپتوجکینگ ­ها همانند بدافزار بیپی استخراج شده است.

منبع : cintjournal