‫ khozestan_salamat بلاگ

Darktrace از بدافزار جدیدی خبر می‌دهد که نقشه کاراکتر ویندوز را برای استخراج ارز دیجیتال می‌رباید و خطرات حملات پنهان در فرآیندهای نرم‌افزاری روزمره را آشکار می‌کند.
 

شرکت هوش مصنوعی امنیت سایبری Darktrace، جزئیات یک کمپین پیچیده را به اشتراک گذاشته است که نرم‌افزارهای روزمره ویندوز را برای استخراج مخفیانه ارز دیجیتال می‌رباید.

این نوع حمله، کریپتوجکینگ نامیده می‌شود که در آن از قدرت پردازش دستگاه برای استخراج ارز دیجیتال برای مهاجمان استفاده می‌شود و منجر به افزایش قبوض برق و عملکرد کندتر برای قربانی می‌شود.

طبق پست وبلاگ Darktrace، در ژوئیه 2025، به طور خاص در 22 ژوئیه، تیم امنیتی آن یک حادثه تلاش برای استخراج ارز دیجیتال را در شبکه یک مشتری در صنعت خرده فروشی و تجارت الکترونیک شناسایی و متوقف کرد.

تهدید اولیه به این دلیل شناسایی شد که دستگاه از یک عامل کاربری PowerShell جدید استفاده می‌کرد، که یک شاخص بسیار غیرمعمول است که نشان می‌دهد اتفاق غیرمنتظره‌ای در شبکه در حال رخ دادن است. این حمله منحصر به فرد بود و اولین باری بود که از یک ابزار خاص، یک «بارگذار AutoIt مبهم»، برای ارائه نرم‌افزار مخربی به نام NBMiner استفاده می‌شد.

درون بدافزار
بررسی‌های بیشتر نشان داد که مهاجمان از اسکریپت‌های پیچیده‌ای برای دانلود و اجرای مستقیم بدافزار NBMiner در حافظه کامپیوتر استفاده می‌کردند. این اسکریپت اولیه با لایه‌های متعدد کد پنهان شده بود تا خواندن و تجزیه و تحلیل آن دشوار باشد.

سپس بدافزار خود را به یک فرآیند بی‌ضرر و قابل اعتماد ویندوز، به ویژه برنامه Character Map (charmap.exe) تزریق کرد. برای جلوگیری از شناسایی، این برنامه با چندین اقدام گریز، از جمله بررسی باز بودن برنامه‌هایی مانند Task Manager و تأیید اینکه آیا Windows Defender تنها نرم‌افزار امنیتی نصب شده است، طراحی شده بود.

پس از فعال شدن، این استخراج‌کننده ارز دیجیتال تلاش کرد تا برای شروع عملیات خود به یک استخر استخراج ارز دیجیتال به نام gulf.moneroocean.stream متصل شود. با انجام این کار، می‌توانست بی‌سروصدا امتیازات خود را افزایش دهد و پنهان بماند. این روش، تشخیص آن را به طور قابل توجهی دشوارتر می‌کند، زیرا از پرچم‌های قرمز معمول که سیستم‌های امنیتی برای جستجوی آنها آموزش دیده‌اند، اجتناب می‌کند.

برای اطلاع شما، Windows Character Map یک برنامه داخلی ویندوز است که به کاربران امکان مشاهده و وارد کردن کاراکترهای خاص، نمادها و کاراکترهای زبان خارجی که در صفحه کلید استاندارد یافت نمی‌شوند را می‌دهد.

اهمیت دفاع پیشرفته
متاسفانه، کریپتوجکینگ همچنان یک تهدید بزرگ است زیرا می‌تواند به گونه‌ای مقیاس‌بندی شود که بسیاری از دستگاه‌ها را به طور همزمان آلوده کند. در حالی که برخی ممکن است این حملات را یک مسئله جزئی بدانند، در واقع می‌توانند منجر به مشکلات حریم خصوصی داده‌ها و هزینه‌های قابل توجه انرژی ناشی از سوءاستفاده از قدرت محاسباتی شوند.

در این مورد خاص، سیستم پاسخ خودکار Darktrace توانست با جلوگیری از اتصال دستگاه آلوده به سرورهای مهاجم، به سرعت تهدید را مهار کند و حمله را در مراحل اولیه متوقف کند. این امر اهمیت داشتن اقدامات امنیتی پیشرفته‌ای را که فراتر از تشخیص ساده برای مسدود کردن فعال تهدیدها هستند، برجسته می‌کند.

جیسون سوروکو، عضو ارشد Sectigo، ارائه دهنده مدیریت جامع چرخه عمر گواهی (CLM) مستقر در اسکاتسدیل، آریزونا، در مورد آخرین پیشرفت اظهار نظر کرد و اصرار داشت که سازمان‌ها باید "کریپتوجکینگ مدرن را به عنوان یک سیگنال نفوذ، نه یک مزاحمت بی‌ضرر، در نظر بگیرند."

او اشاره می‌کند که این حملات می‌توانند به عنوان پوششی برای یک کمپین گسترده‌تر با هدف جمع‌آوری اطلاعات احراز هویت و جاسوسی از شبکه عمل کنند. به گفته سوروکو، زمان لازم برای شناسایی یک تهدید، به میزان مشاهده نحوه رفتار اسکریپت‌ها، فرآیندها و اتصالات شبکه بستگی دارد، نه صرفاً به فهرستی از مشکلات شناخته شده.