بدافزار استخراج رمزارز مونرو که از تسک منیجر پنهان می‌شود

پژوهشگران شرکت امنیت سایبری Varonis یک ویروس استخراج بدون اجازه رمزارز را شناسایی کرده‌اند که مخفیانه رمزارز مونرو استخراج می‌کند. یکی از ویژگی‌های کلیدی این رمزارز این است که وقتی کاربر تسک منیجر را باز می‌کند، فرایند استخراج رمزارز را متوقف می‌کند. هفته گذشته هم شرکت امنیت سایبری دیگری خبر داد که نوعی بدافزار به نام Smominru علاوه بر استخراج رمزارز، داده‌های کاربران را هم سرقت می‌کند.شرکت امنیت سایبری Varonis یک ویروس استخراج بدون اجازه رمزارز به نام «Norman» را شناسایی کرده که مخفیانه رمزارز مونرو (XMR) استخراج می‌کند.

Varonis چهاردهم آگوست گزارشی در مورد Norman منتشر کرده است. بر طبق این گزارش، Varonis ویروس Norman را به‌عنوان یکی از چندین ویروس استخراج مخفیانه‌ای شناسایی کرده که در حمله به دستگاه‌های شرکتی با اندازه متوسط به‌کار رفته بودند.

هکرها و مجرمان سایبری با به‌کارگیری سخت‌افزارهای استخراج مخفیانه از قدرت رایانش دستگاه‌های کاربران ناآگاه استفاده می‌کنند تا رمزارزهایی با حفاظت بالا از حریم خصوصی مثل مونرو را استخراج کنند.

Norman به‌طور ویژه استخراج‌کننده کریپتوی مبتنی بر XMRig است که در گزارش به‌عنوان استخراج‌کننده‌ای با عملکرد عالی برای رمزارز مونرو توصیف شده است. یکی از ویژگی‌های کلیدی Norman این است که وقتی کاربر تسک منیجر را باز می‌کند، فرایند استخراج رمزارز را متوقف می‌کند و با بسته شدن تسک منیجر، از فرایندی برای راه‌اندازی مجدد استخراج‌کننده استفاده می‌کند.

پژوهشگران Varonis همچنین به این نتیجه رسیده‌اند که Norman با زبان برنامه‌نویسی PHP نوشته شده و با Zend Guard پنهان می‌شود. پژوهشگران همچنین حدس می‌زنند که به‌دلیل وجود متغیرها و فرمان‌های فرانسوی در کد Norman، منشا این ویروس کشوری فرانسوی زبان باشد.

علاوه بر این در فایل SFX نظراتی به فرانسوی وجود دارد. بر طبق گزارش این مسئله نشان می‌دهد که خالق Norman از نسخه فرانسوی نرم‌افزار WinRAR برای ایجاد فایل SFX استفاده کرده است.

فراتر از استخراج مخفیانه

هفته گذشته هم شرکت امنیت سایبری دیگری به‌روزرسانی نگران‌کننده‌ای را برای رشته‌ای از بدافزار استخراج مونرو افشا کرد. شرکت Carbon Black متوجه شده که نوعی بدافزار به نام Smominru در حال حاضر علاوه بر استخراج رمزارز، داده‌های کاربران را هم سرقت می‌کند. این شرکت معتقد است که هکرها احتمالا داده‌های سرقت‌شده را در دارک وب می‌فروشند. در گزارش Carbon Black آمده است:

«این یافته جدید نشان‌دهنده روند برجسته‌تری از تکامل بدافزارهای غیرحرفه‌ای برای پنهان کردن هدفی شریرانه‌تر است و متخصصان امنیت سایبری را مجبور می‌کند، روش‌شان را در طبقه‌بندی تهدیدها، تحقیق در مورد آن‌ها و محافظت در برابر آن‌ها تغییر دهند.»

منبع : cointelegraph