اخبار

ماینینگ بیت کوین با استفاده از بدافزار در فیس بوک، شیوه جدید هکرها

محققان حوزه امنیت سایبری از ترندمیکرو به کاربران خود در مورد افزونه مرورگر کروم مخرب که در پیام رسان فیسبوک در حال پخش شدن است هشدار می دهند . هدف این برنامه، کاربران پایگاه‌های تجارت ماینینگ برای سرقت اعتبار حساب می باشد.

ماینینگ بیت کوین با استفاده منابع سیستمی کاربران یکی از روش های هکرها جهت کسب درآمد از طریق بیت کوین می باشد. یک بدافزار اخیرا اقدام به ماینینگ غیر مجاز کرده است در حالی که با استفاده از فیس بوک خود را انتشار می دهد.

اگر در دستگاه خود یک لینک فیلم دریافت کردید که توسط فردی در پیام رسان فیسبوک ارسال شده است  – حتی درصورتی که فیلم جالب به نظر می رسد بدون دقت روی آن کلیک نکنید.

تکنیک حمله Dubbed Facexworm که توسط برنامه مخرب استفاده می شود برای اولین بار در آگوست سال گذشته مطرح شد، اما محققان متوجه شدند که این بدافزار با قابلیت‌های خطرناک جدید این ماه مجددا ظاهر شده است.

قابلیت‌های جدید شامل سرقت اعتبار حساب از وب سایت‌هایی مثل گوگل و سایت‌های کد گذار می‌باشد که قربانیان را سمت SCAM های کدگذاری پولی هدایت می‌کند و وارد یک صفحه وب ماینینگ می‌کند و سپس قربانیان را به سمت لینک برنامه  مراجعه حمله کنندگان برای کدگذاری پولی می‌کشاند.

این بدافزار اولین بدافزاری نیست که از پیام رسان فیسبوک برای پخش خود همانند یک کرم استفاده می کند.

در اواخر سال گذشته، محققان ترند میکرو یک روبات کدگذاری پولی  با نام Digim Dubbed کشف کردند که از طریق پیام رسان فیسبوک پخش می شود و هدف آن ویندوزهای کامپیوتر و برنامه گوگل گروم برای ماینیگ بیت کوین و سایر ارزهای دیجیتال می‌باشد.

Facexworm نیز همانند Digim با ارسال لینک‌های اجتماعی مهندسی شده از طریق پیام رسان فیسبوک به دوستان دارای حساب تحت تاثیر قرار گرفته عمل می کند تا قربانیان را به سمت نسخه‌های جعلی وب سایت‌های دارای فیلم های پرطرفدار مثل یوتیوب هدایت کند.

شایان ذکر است که نسخه Facexworm فقط برای کاربران هدف کروم طراحی شده است. اگر این بدافزار جستجوگر دیگری را روی کامپیوتر قربانی شناسایی کند، کاربر را به سمت تبلیغات گمراه کننده هدایت می کند.

بدافزار Facexworm چگونه اقدام به ماینینگ می کند؟

اگر لینک فیلم مخرب با استفاده از جستجوگر کروم باز شود،  Facexwormقربانی را به سمت صفحه یوتیوب جعلی هدایت می‌کند که در آن کاربر تشویق می‌شود تا نسخه مخرب کروم را دانلود کند تا فیلم را باز کند.

نسحه Facexworm کروم از زمانی که نصب می‌شود موارد بیشتری را از فرمان وارد شده دانلود می‌کند و سرور را کنترل می‌کند تا کارهای خطرناک بیشتری را انجام دهد.

محققان می گویند: Facexworm یک Clone از نسخه های معمولی کروم است اما با کدهای کوتاه در برگیرنده مسیر اصلی وارد می شود. این برنامه زمانی که پنجره جستجوگر باز می‌شود کدهای بیشتری از جاوا اسکریپت و سرور  C&Cدانلود می کند.

” هر زمان که قربانی یک صفحه وب را باز می کند، Facexworm از سرور C&C می خواهد تا یک کد دیگر بیاید ( واقع در Github) و آن را درصفحه وب اجرا کند.

چون این نسخه تمام اجازه‌ها را زمان نصب می گیرد، بدافزار می‌تواند به اطلاعات دسترسی پیدا کند و یا اطلاعات واقع در صفحات وب کاربر را تغییر دهد.

در اینجا، یک لیست از برنامه‌هایی که بدافزار Facexworm می تواند اجرا کند آورده شده است:

  • این بدافزار همانند یک کرم پخش می شود و از حساب قربانی در فیسبوک اجازه دسترسی OAuth می گیرد که با استفاده از آن می تواند به صورت اتوماتیک به لیست دوستان قربانی دست پیدا کند و یک لینک معیوب از فیلم های سایت جعلی برای آنها ارسال کند.
  • وقتی که بدافزار بفهمد قربانی وارد وب سایت‌های هدف شده است، اطلاعات حساب کاربری گوگل – مای مانرو و کوین هایو سرقت می کند.
  • همچنین، Facexworm هکر را وارد صفحاتی می کند که توسط قربانی باز شده اند و در این صفحات از انرژی کامپیوتر قربانی برای ماینینگ برای هکر استفاده می کند.
  • حتی Facexworm تراکنش‌های رمز گذاری کاربر را هم هک می کند و این کار را با قرار دادن آدرس وارد شده توسط قربانی و جایگزینی آن توسط  آدرس حمله کننده انجام می دهد.
  • وقتی که بدافزار کاربر را شناسایی می کند، به یکی از ۵۲ پایگاه تبادل رمز دسترسی پیدا می کند یا اگر لغات کلیدی مثل “Blockchain” – “eth” یا “ Etherum”  را در جستجوگر وارد کند، Facexworm قربانی را به سمت وب سایتی می‌برد که سکه‌های دیجیتال کاربر را سرقت می‌کند. پایگاه‌های هدف شامل Poloniex, HitBTC, Bitfinex, Ethfinex, Binance ,wallet Blochchin می‌شوند.
  • برای اجتناب از شناسایی یا حذف، نسخه Facexworm، وقتی که بداند کاربر در حال باز کردن صفحه مدیریت کروم است به سرعت پنجره را می بندد.
  • همچنین، حمله کننده در زمان ثبت نام کاربر در DigitalOcean- Free Bitcon – FreeDoge.co.in یا Binance – HashFlare  انگیزه ارجاع به او می دهد.

محققان ترند میکرو به این مطلب پی برده‌اند که Facexworm  از ۱۹ آوریل تا کنون، حداقل یک تراکنش بیت کوین (با ارزش ۲٫۴۹$) داشته است اما محققان نمی‌دانند که حمله کنندگان چقدر از طریق این بدافزار کسب درآمد کرده‌اند.

کدگذاری‌های پولی هدف Facexworm عبارتند از بیت کوین BTC، بیت کوین گلد BTG، بیت کوین کش BCH، دش DASH ، ETH، اترئوم کلاسیک ETC، ریپل XRP ، لیت کوین LTC، زکش ZEC ، و مانروXMR.

بدافزار Facexworm در آلمان – تونس –ژاپن –تایوان – کره جنوبی و اسپانیا یافت شده است، اما از آنجایی که پیام رسان فیسبوک در سراسر جهان مورد استفاده قرار می گیرد، احتمال پخش شدن آن در سراسر جهان وجود دارد.

کروم وب استور بسیاری از نسخه های معیوب را قبل از اینکه مورد توجه محققان ترند میکرو قرار بگیرند حذف کرد، اما حمله کنندگان آن را به داخل استور آپلود می کنند.

محققان می گویند: پیام رسان فیسبوک می‌تواند لینک‌های مخرب با طراحی مهندسی را شناسایی کند و به صورت منظم رفتار پخش کننده حساب‌های تحت تاثیر قرار گرفته را متوقف کند.

نسرین ذاکری
نویسندهنسرین ذاکری

دیدگاهتان را بنویسید