اخبار > هشدار مرکز افتای ریاست جمهوری؛

         هشدار مرکز ریاست جمهوری

      گسترش کاوشگر ارز دیجیتال / لزوم به روزرسانی سیستم‌های ویندوز

         سايت خبرگزاري مهر

·        کد خبر 4289252

·        ۱6 اردیبهشت ۱۳۹۷

مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری نسبت به گسترش بدافزار «کاوشگر ارز دیجیتالی» هشدار داد.

به گزارش خبرگزاری مهر به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، اخیراً یک کاوشگر ارز دیجیتالی نوشته شده به زبان پایتون و با نام PyRoMine، در حال گسترش در سیستم‌های ویندوزی است. این کاوشگر که ارز Monero را استخراج می‌کند، مشابه سایر کاوشگرها عمل می‌کند.

این بدافزار از یکی از کدهای اکسپلویت NSA (آژانس امنیت ملی امریکا) به نام EternalRomance برای انتشار خود استفاده می‌کند.

این کد اکسپلویت مربوط به یکی از ابزارهای نفوذ گروه هک ShadowBrokers است که در ماه آوریل سال گذشته در اختیار عموم قرار گرفت. این کد پس از انتشار عمومی، سال گذشته در حمله باج‌افزار BadRabbit مورد استفاده قرار گرفت. از سوی دیگر در اوایل سال جاری، EternalRomance و دو اکسپلویت دیگر (EternalSynergy و EternalChampion) در چارچوب Metasploit قرار گرفتند. بنابراین این اکسپلویت‌ها می‌توانند تمامی نسخه‌های ویندوز شامل ویندوز ۲۰۰۰ به بعد را هدف قرار دهند.

بدافزار PyRoMine از طریق یک فایل Zip منتشر می‌شود که حاوی یک فایل اجرایی است. این کاوشگر از نسخه ویرایش شده EternalRomance استفاده می‌کند. زمانی که PyRoMine اجرا شود، آدرس‌های IP محلی را استخراج کرده و آلودگی خود را به سایر زیرشبکه‌ها گسترش دهد. 

نحوه عملکرد این بدافزار به این صورت است که پس از نفوذ این بدافزار به سیستم، یک اسکریپت VB در سیستم دانلود می‌شود که عملیات کاوش ارز را انجام می‌دهد. این اسکریپت یک حساب کاربری مدیریتی در سیستم ایجاد می‌کند تا از طریق آن پروتکل Remote Desktop را فعال کند و یک قانون فایروال برای باز کردن ترافیک پورت ۳۳۸۹ ایجاد کند. همچنین این اسکریپت سرویس به روزرسانی ویندوز را غیر فعال کرده و با اعمال سایر تنظیمات در سرویس مدیریت از راه دور ویندوز، سیستم را برای حملات آتی آماده می‌کند.

PyRoMine اولین کاوشگر ارزی نیست که از اکسپلویت‌های NSA برای گسترش استفاده می‌کند، امّا این بدافزار سیستم را به گونه‌ای پیکربندی می‌کند تا در معرض حملات بیشتر و پیچیده‌تری قرار گیرد. 

اکسپلویت‌های NSA قبلاً توسط NotPetya، WannaCry، Adylkuzz و Retefe بکار رفته‌اند ولی استفاده از این اکسپلویت‌ها توسط بدافزارهایی نظیر Smominru، WannaMine و PyRoMine نشان می‌دهد که استفاده از این اکسپلویت‌ها توسط کاوشگران ارز نیز مورد توجه قرار گرفته است. 

برای جلوگیری از آلودگی احتمالی، پیشنهاد می‌شود تا هر چه سریعتر سیستم‌های ویندوزی خود را بروزرسانی کنید.