Smominru الروبوتات يساعد المهاجمين على كسب أكثر من 3.6 مليون دولار

لم تعد فيروسات العملات المشفرة غير شائعة. المهمة الرئيسية التي يقومون بها هي استخراج العملة المشفرة على أجهزة المستخدم. يصيب البعض أجهزة الكمبيوتر نفسها ، والبعض الآخر - صفحات المواقع التي تمت زيارتها وليس المواقع. واحدة من أكثر الروبوتات فعالية ، إذا جاز التعبير ، Smominru . ساعد أصحابه على كسب أكثر من 3.6 مليون دولار بالدولار. من الواضح أن العملة المشفرة لا يتم استخراجها في الأوراق المالية ، ولكن في Monero ، وهي عملة مشفرة مجهولة الهوية أصبحت شائعة بشكل متزايد.

أما الفترة الزمنية التي تلقى فيها المهاجمون مثل هذا المبلغ الكبير ، فنحن نتحدث عن 9-10 أشهر. بدأ كل شيء في مايو 2017 ، عندما بدأ Smominru في الانتشار بنشاط. ومنذ ذلك الحين ، أصاب أكثر من 526 ألف سيارة.

“أصبحت البيتكوين عملة مشفرة ليست مربحة للغاية من وجهة نظر التعدين ، وتتركز قدرات التعدين الرئيسية في مزارع التعدين. ونتيجة لذلك ، ازداد اهتمام المجرمين الإلكترونيين في مونيرو عدة مرات "، قال أحد الباحثين في مجال أمن الشبكات باسم كافيين. تم نشر مشاركته على موقع شركة متخصصة في أمن الشبكات تسمى Proofpoint.

"بالطبع ، لا يمكن استخراج مونيرو بكميات كبيرة على أجهزة الكمبيوتر المنزلية. لكن البوت نتات الموزعة مثل Smominru قادرة على ذلك ". بالإضافة إلى الروبوتات المحددة ، هناك أيضًا Adylkuzz و Zealot. كلهم لديهم شيء واحد مشترك - رمز تم تطويره في أحشاء NDA وتم وضعه قبل عام ونصف من قبل مجموعة القراصنة Shadow Brokers. حتى الآن ، يعتبر هذا الرمز مناسبًا ويسمح للمهاجمين باختراق أنظمة إنترنت الأشياء وأجهزة الكمبيوتر الشخصية وتنفيذ إجراءات أخرى.

يستخدم Smominru مآثر لإصابة أجهزة الكمبيوتر ، واحد منها هو EternalBlue . يعمل الفيروس معه من أجل الانتشار من آلة إلى أخرى داخل الشبكة المصابة. بالإضافة إلى ذلك ، يتم استخدام هذه الثغرة الأمنية على أجهزة الكمبيوتر حيث لا تعمل طرق القرصنة الأخرى. بالطبع ، ستعمل هذه الثغرة الأمنية فقط على الأنظمة التي لا تحتوي على تصحيح مثبت. يستخدم Smominru أيضًا واجهة إدارة Windows.

الروبوتات نفسها غير ضارة ، كما ذكر أعلاه. ولكن إذا أصابت شبكة من الشركات ، فإن الشركات تتكبد خسائر. تكمن المشكلة في أن التعدين عملية كثيفة الموارد تستنزف الموارد المجانية من الآلات. نتيجة لذلك ، تبدأ العديد من عمليات العمل في التباطؤ أو تتوقف تمامًا. تكمن المشكلة أيضًا في استهلاك الكهرباء أثناء التعدين ، وهذه خسارة مباشرة للشركات. تكاليف العمل ، ولكن يتم استهلاك الطاقة.

تعمل البوت نت مع بركة التعدين Monero MineXMR. الآن ، يحاول خبراء أمن الشبكات القضاء على الروبوتات والشبكات التي يرتبط بها.

تعمل شبكات الروبوتات التعدينية الأخرى ، مثل WannaMine ، أيضًا الآن. جميعها متشابهة مع بعضها البعض وتستغل نقاط الضعف نفسها تقريبًا. إنها خطيرة لأنها تعمل بدون تنزيل أي ملفات ، بالإضافة إلى أنها تستخدم برامج "شرعية" مثل WMI و PowerShell ، مما يجعل اكتشاف فيروسات التعدين أمرًا صعبًا. على الأرجح ، لحظرها تمامًا ، هناك حاجة إلى أنواع جديدة من مضادات الفيروسات ، والتي ستأخذ في الاعتبار أثناء التشغيل خصائص مثل هذه البرامج الضارة فقط.

لا يتم استخدام التعدين فقط من قبل الفيروسات المشفرة ، ولكن أيضًا من خلال أنواع مختلفة من الموارد الشائعة. على سبيل المثال ، يضيف The Pirate Bay torrent tracker بانتظام سكريبت مينر إلى صفحاته. كان هذا معروفًا لأول مرة في 17 سبتمبر. ثم قام المورد أولاً باختبار عامل المنجم كبديل لإعلانات البانر على الموقع. لم يقم أحد باختراق المورد ، فقد قررت إدارة المتعقب الحصول على بعض الأموال الإضافية للحفاظ على المتتبع. صحيح ، تم ذلك دون سابق إنذار ، لم يطلب أحد من المستخدمين موافقتهم.

تم العثور على عامل المنجم لأن الكمبيوتر الذي تم تحميل الصفحة عليه البرنامج النصي الخاص بدأ يعمل ببطء أكثر. ثم قامت إدارة المتتبع بتثبيت الكود بالإعدادات الجديدة ، والتي تضمن تحميلًا أقل بكثير على أنظمة العميل ، بحيث لا يمكن للمستخدمين الشك في أي شيء.

تتم مكافحة عمال المناجم المشفرة من قبل العديد من منظمات الشبكة. واحد منهم هو مزود Cloudflare CDN. في السابق ، جمدت هذه الشركة حساب متعقب سيل آخر ، وللسبب نفسه فقط - العمل مع عمال المناجم المشفرة. على الأرجح ، مع مرور الوقت ، ستنتشر الفيروسات المشفرة على نطاق أوسع وسيكون من الصعب اكتشافها.