کشف بدافزاری که از تراکنش های بیت کوین سوءاستفاده می نماید

به گزارش وبلاگ عکس به نقل از مرکز افتای ریاست جمهوری، نوع جدیدی از بدافزار Glupteba کشف شده است که از بلاکچین بیت کوین برای دریافت دامنه های سرور فرمان و کنترل (C&C) از تراکنش های بیت کوین تعیین شده با کدهای OP-RETURN استفاده می نماید.

کشف بدافزاری که از تراکنش های بیت کوین سوءاستفاده می نماید

بدافزار Glupteba قبلا به عنوان payload ثانویه تروجان Alureon توزیع می شد. این تروجان در سال 2011 به منظور انجام فرایند سرقت کلیک طراحی شده بود. همچنین عوامل تهدید عملیات Windigo در سال 2014 از این بدافزار استفاده کردند. علاوه بر این، در سال 2018 از این بدافزار در یک عملیات مخرب دیگر نیز استفاده شده بود.

پژوهشگران Trend Micro اخیرا نوع جدیدی از Glupteba را کشف نموده اند که به عنوان آگهی افزار عمل می نماید، اما دو ماژول دیگر در خود جای داده است. ماژول اول به روزرسانی نماینده آدرس سرورهای C&C توسط زنجیره بلوک بیت کوین است که یک دزد اطلاعات و ماژول دوم اکسپلویتی برای هدف قرار دادن مسیریاب های میکروتیک محلی است.

هنگامی که بدافزار یک رایانه را آلوده می نماید، آغاز به جمع آوری اطلاعات سیستم می نماید و آن ها را در رجیستری ویندوز ذخیره می نماید. این داده ها بعدا با AES رمزگذاری شده و توسط درخواست POST به سرور C&C ارسال می شوند.

این بدافزار همچنین از چندین روش برای بالا بردن سطح دسترسی خود استفاده می نماید تا مجوزهای سطح SYSTEM را به دست آورد و توابع طراحی شده برای آنالیز وجود نرم افزارهای ضدبدافزار، دستکاری قوانین دیوارآتش (فایروال) و آنالیز دستورات جدید سرور C&C را اجرا کند.

Glupteba دارای قابلیت درپشتی است که به مهاجمان اجازه می دهد تا دستگاه آلوده را به یک ربات کاوش رمزارز XMR تبدیل، فایل های مختلف را بارگیری و اجرا نمایند، از صفحه نمایش اسکرین شات بگیرند و موارد مخرب دیگر انجام دهند. مولفه دزد اطلاعات بدافزار نیز می تواند پرونده ها، کوکی ها، گذرواژه ها و سایر اطلاعات را از مرورگرها دریافت کند.

ماژول مربوط به مسیریاب های میکروتیک این بدافزار آسیب پذیری CVE-2018-14847 را هدف قرار می دهد و پس از نفوذ پیروز اطلاعات احرازهویت مسیریاب را به سرور C&C ارسال می نماید. عوامل مخرب مسیریاب مورد نفوذ را به عنوان یک پراکسی SOCKS پیکربندی می نمایند تا ترافیک مخرب را از آن عبور دهند.

نشانه های آلودگی (IOC) و دامنه ها و IPها در پرتال مرکز مدیریت راهبری افتا قرار داده شده است.

منبع: خبرگزاری مهر

به "کشف بدافزاری که از تراکنش های بیت کوین سوءاستفاده می نماید" امتیاز دهید

امتیاز دهید:

دیدگاه های مرتبط با "کشف بدافزاری که از تراکنش های بیت کوین سوءاستفاده می نماید"

* نظرتان را در مورد این مقاله با ما درمیان بگذارید