مرکز افتا هشدار داد کشف بدافزار استخراج ارز با پردازشگر قربانیان
مرکــز مدیریت راهبردی افتای ریاســت جمهوری با اعالم خبر کشــف بدافــزار جدیــد کاوش ارز دیجیتال، نســبت به سوءاســتفاده ایــن نرمافــزار مخــرب از قــدرت پردازشــگر سیستم رایانهای قربانیان هشدار داد. بهگــزارش «ایران»، به تازگی آزمایشــگاه مک آفــی )McAfee( بدافزار جدیدی بــا نام Web Cobra را کشــف کرده که از قدرت پردازش سیســتم قربانیان برای کاوش ارز دیجیتالی استفاده میکند. بدافــزار Web Cobra بســته بــه نــوع معمــاری کــه تشــخیص دهــد، بهصورت مخفیانــه کاوشــگر Cryptonight یــا Claymore’s Zcash را نصــب میکنــد. دامنه آلودگی این بدافزار در سراســر جهان در روزهای ۸۱ الی ۲۲ شــهریور بوده و بیشــترین آلودگیهــا مربــوط به کشــورهای برزیــل، آفریقای جنوبــی و ایاالت متحده اســت. منتقلکننــده بدافزار، یک نصبکننده مایکروســافت اســت که محیط سیســتم را بررســی میکند. به نحوی که در سیســتمهای 6۸x کاوشــگر Cryptonight نصــب میشــود و در سیســتمهای x64 کاوشــگر Claymore’s Zcash از یک ســرور راه دور، بارگیری و نصب میشــود. پس از آن در ادامه یک فایل CAB در سیســتم بارگذاری میشــود که حاوی بدنــه bin و یک فایل DLL برای رمزگشــایی بدنه اســت. بدنه بدافزار دارای قابلیتهای ضد دیباگ، ضد شبیهســازی و ضد محیطهای سندباکس اســت و از این رو، برای مدت طوالنی بهصورت ناشناخته در سیستم باقی میماند. در سیســتمهای 6۸x بدافــزار به فرآینــد پردازشــی svchost.exe نفوذ میکند و فرآینــد کاوش ارز را انجــام میدهــد. امــا در سیســتمهای x64 تنهــا در صورتی فرآیند کاوش ارز انجام میشــود کهWireshark در سیســتم شناســایی نشــود و پردازنده گرافیکی قربانی یکی از سه مدل Radeon، Nvidia و Asus باشد.