حددت شركة الأمن السيبراني دارك تريس حملة جديدة للتعدين الخفي مصممة لتجاوز ويندوز ديفندر ونشر برنامج لتعدين العملات الرقمية.
ملخص
Darktrace قد حددت حملة تعدين خفي تستهدف أنظمة Windows.
الحملة تتضمن نشر NBminer بشكل خفي لتعدين العملات الرقمية.
حملة التعدين الخفي، التي تم التعرف عليها لأول مرة في أواخر يوليو، تتضمن سلسلة عدوى متعددة المراحل تقوم بهدوء باختطاف قوة معالجة الكمبيوتر لتعدين العملات الرقمية، كما أوضح باحثو Darktrace كيانّا غريليتشا وتارا غولد في تقرير تم مشاركته مع crypto.news.
وفقًا للباحثين، تستهدف الحملة بشكل خاص الأنظمة المعتمدة على Windows من خلال استغلال PowerShell، وهو واجهة سطر الأوامر ولغة البرمجة النصية المدمجة في Microsoft، والتي من خلالها يستطيع المهاجمون تنفيذ نصوص ضارة والحصول على وصول متميز إلى نظام المضيف.
تم تصميم هذه السكربتات الخبيثة لتعمل مباشرة على ذاكرة النظام (RAM) وبالتالي، فإن أدوات مكافحة الفيروسات التقليدية التي تعتمد عادةً على مسح الملفات على محركات الأقراص الصلبة للنظام غير قادرة على اكتشاف العملية الخبيثة.
بعد ذلك، يستخدم المهاجمون لغة البرمجة AutoIt، وهي أداة ويندوز تُستخدم عادةً من قبل محترفي تكنولوجيا المعلومات لأتمتة المهام، لحقن محمل خبيث في عملية ويندوز مشروعة، والتي تقوم بعد ذلك بتنزيل وتنفيذ برنامج تعدين العملات الرقمية دون ترك آثار واضحة على النظام.
كخط دفاع إضافي، يتم برمجة المحمل لأداء سلسلة من فحوصات البيئة، مثل البحث عن علامات بيئة الصندوق الرملي وفحص المضيف للمنتجات المضادة للفيروسات المثبتة.
لا تتم عملية التنفيذ إلا إذا كان Windows Defender هو الحماية النشطة الوحيدة. علاوة على ذلك، إذا كانت حساب المستخدم المصاب يفتقر إلى صلاحيات المسؤول، فإن البرنامج يحاول تجاوز التحكم في حساب المستخدم للحصول على وصول مرتفع.
عندما يتم استيفاء هذه الشروط، يقوم البرنامج بتنزيل وتنفيذ NBMiner، أداة تعدين العملات الرقمية المعروفة التي تستخدم وحدة معالجة الرسوميات في الكمبيوتر لتعدين العملات الرقمية مثل Ravencoin (RVN) و Monero (XMR).
في هذه الحالة، كانت Darktrace قادرة على احتواء الهجوم باستخدام نظام الاستجابة المستقلة الخاص بها من خلال "منع الجهاز من إجراء اتصالات خارجية وحظر اتصالات محددة إلى نقاط نهاية مشبوهة."
"بينما تستمر العملات الرقمية في النمو في شعبيتها، كما يتضح من التقييم المرتفع المستمر للقيمة السوقية العالمية للعملات الرقمية (تقريبًا 4 تريليونات دولار في وقت كتابة هذه السطور)، سيواصل المهاجمون رؤية تعدين العملات الرقمية كفرصة مربحة،" كتب باحثو Darktrace.
حملات التعدين الخفي عبر الهندسة الاجتماعية
في يوليو، أبلغت Darktrace عن حملة منفصلة حيث كان المهاجمون يستخدمون تكتيكات معقدة في الهندسة الاجتماعية، مثل انتحال شخصية شركات حقيقية، لخداع المستخدمين لتحميل برامج معدلة تقوم بنشر برمجيات خبيثة لسرقة العملات الرقمية.
على عكس مخطط التعدين الخفي المذكور أعلاه، استهدف هذا النهج أنظمة ويندوز وماك أو إس، وتم تنفيذه بواسطة الضحايا غير المدركين الذين اعتقدوا أنهم يتفاعلون مع موظفي الشركة.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
دارك تريس ترفع العلم عن حملة تعدين خفي جديدة قادرة على تجاوز ويندوز ديفندر
حددت شركة الأمن السيبراني دارك تريس حملة جديدة للتعدين الخفي مصممة لتجاوز ويندوز ديفندر ونشر برنامج لتعدين العملات الرقمية.
ملخص
حملة التعدين الخفي، التي تم التعرف عليها لأول مرة في أواخر يوليو، تتضمن سلسلة عدوى متعددة المراحل تقوم بهدوء باختطاف قوة معالجة الكمبيوتر لتعدين العملات الرقمية، كما أوضح باحثو Darktrace كيانّا غريليتشا وتارا غولد في تقرير تم مشاركته مع crypto.news.
وفقًا للباحثين، تستهدف الحملة بشكل خاص الأنظمة المعتمدة على Windows من خلال استغلال PowerShell، وهو واجهة سطر الأوامر ولغة البرمجة النصية المدمجة في Microsoft، والتي من خلالها يستطيع المهاجمون تنفيذ نصوص ضارة والحصول على وصول متميز إلى نظام المضيف.
تم تصميم هذه السكربتات الخبيثة لتعمل مباشرة على ذاكرة النظام (RAM) وبالتالي، فإن أدوات مكافحة الفيروسات التقليدية التي تعتمد عادةً على مسح الملفات على محركات الأقراص الصلبة للنظام غير قادرة على اكتشاف العملية الخبيثة.
بعد ذلك، يستخدم المهاجمون لغة البرمجة AutoIt، وهي أداة ويندوز تُستخدم عادةً من قبل محترفي تكنولوجيا المعلومات لأتمتة المهام، لحقن محمل خبيث في عملية ويندوز مشروعة، والتي تقوم بعد ذلك بتنزيل وتنفيذ برنامج تعدين العملات الرقمية دون ترك آثار واضحة على النظام.
كخط دفاع إضافي، يتم برمجة المحمل لأداء سلسلة من فحوصات البيئة، مثل البحث عن علامات بيئة الصندوق الرملي وفحص المضيف للمنتجات المضادة للفيروسات المثبتة.
لا تتم عملية التنفيذ إلا إذا كان Windows Defender هو الحماية النشطة الوحيدة. علاوة على ذلك، إذا كانت حساب المستخدم المصاب يفتقر إلى صلاحيات المسؤول، فإن البرنامج يحاول تجاوز التحكم في حساب المستخدم للحصول على وصول مرتفع.
عندما يتم استيفاء هذه الشروط، يقوم البرنامج بتنزيل وتنفيذ NBMiner، أداة تعدين العملات الرقمية المعروفة التي تستخدم وحدة معالجة الرسوميات في الكمبيوتر لتعدين العملات الرقمية مثل Ravencoin (RVN) و Monero (XMR).
في هذه الحالة، كانت Darktrace قادرة على احتواء الهجوم باستخدام نظام الاستجابة المستقلة الخاص بها من خلال "منع الجهاز من إجراء اتصالات خارجية وحظر اتصالات محددة إلى نقاط نهاية مشبوهة."
"بينما تستمر العملات الرقمية في النمو في شعبيتها، كما يتضح من التقييم المرتفع المستمر للقيمة السوقية العالمية للعملات الرقمية (تقريبًا 4 تريليونات دولار في وقت كتابة هذه السطور)، سيواصل المهاجمون رؤية تعدين العملات الرقمية كفرصة مربحة،" كتب باحثو Darktrace.
حملات التعدين الخفي عبر الهندسة الاجتماعية
في يوليو، أبلغت Darktrace عن حملة منفصلة حيث كان المهاجمون يستخدمون تكتيكات معقدة في الهندسة الاجتماعية، مثل انتحال شخصية شركات حقيقية، لخداع المستخدمين لتحميل برامج معدلة تقوم بنشر برمجيات خبيثة لسرقة العملات الرقمية.
على عكس مخطط التعدين الخفي المذكور أعلاه، استهدف هذا النهج أنظمة ويندوز وماك أو إس، وتم تنفيذه بواسطة الضحايا غير المدركين الذين اعتقدوا أنهم يتفاعلون مع موظفي الشركة.