عرضه نسخه جدید کیت «برداشت ارز مجازی»

به گزارش واحد امنیت سایبربان؛ نسخه جدید برای آن‌که ارزهای مجازی را استخراج کند از پلتفرم‌های مختلفی استفاده می‌کند.
درحالی‌که نسخه‌های قدیمی کیت sundown از مکانیزم‌های ویژه به‌منظور پنهان‌سازی فعالیت‌های خرابکارانه در قالب فایل‌های تصویری استفاده می‌کردند در نسخه جدید از یک صفحه ساده جاوا اسکریپت استفاده‌شده است. در کیت‌های قبلی از الگوی درهم‌سازی استفاده می‌شد ولی در نسخه جدید خبری از این تکنیک‌ها نیست. درحالی‌که این کیت بهره‌برداری روی سراچه‌های مختلفی میزبانی می‌شود، اما آدرس IP تمامی این سایت‌ها یکسان است. به همین دلیل کارشناسان شرکت MalwareBytes گفته‌اند که به نظر می‌رسد تنها یک نفر در ارتباط با این کیت مشغول به کار است و به همین دلیل تلاش آن‌چنانی به‌منظور پنهان‌سازی این کیت اکسپلویت از خود نشان نمی‌دهد.
الگوی رفتاری این کیت نشان می‌دهد زمانی که روی ماشین قربانی نصب می‌شود، سعی می‌کند خودش را در قالب یکی از فرآیندهای رایج ویندوز همچون Windows Backup به کاربر نشان دهد تا او را فریب دهد. در ادامه سعی می‌کند به اینترنت متصل شده و دستورالعمل‌های موردنیاز برای استخراج ارز را دانلود کند. داده‌هایی که دانلود می‌شوند در قالب فایل فشرده UPX دریافت می‌شوند. این برنامه با یک حساب کاربری در سایت Pastebin به نام LoveMonero و همچنین حساب کاربری با همین نام در گیت‌هاب در ارتباط است. هکر (ها) با استفاده از این ابزار تنها می‌توانند ارز مجازی Monero و نه بیت کوین را برداشت کنند. MalwareByte دراین‌ارتباط گفته است: «انتخاب این ارز یک انتخاب هوشمندانه بوده است. به‌واسطه آن‌که مخزن مربوط به تراکنش‌های ارز مجازی بیت‌کوین بیشتر و بیشتر اشباع شده‌اند و همین موضوع استخراج آن‌ها را بیش‌ازپیش سخت‌تر و پیچیده‌تر کرده است؛ اما در مقابل Monero ارز نوپایی است که در ابتدای راه خود قرار دارد.»
کدهای این کیت استخراج‌کننده در گیت‌هاب قرارگرفته‌اند. جالب آن‌که فایل‌های مربوط به این کیت استخراج‌کننده به‌طور پیوسته و منظم از سوی هکر(ها) به‌روزرسانی می‌شود. مخزنی که برای این کیت استخراج‌کننده در گیت‌هاب ساخته‌شده است حاوی لینک‌هایی است که به‌منظور اسکن و دانلود بدافزار مورداستفاده قرار می‌گیرند. پژوهشگران Malwarebytes اطلاع پیداکرده‌اند که این پروژه بر مبنای یک پروژه متن‌باز برداشت ارزهای مجازی موسوم به ccminer-cryptonight پایه‌گذاری شده و تنها چند تغییر جزئی در اصل پروژه به وقوع پیوسته است.
Malwarebytes گفته است: «طراحی این کیت کاملاً عجیب است. به دلیل این‌که کاملاً غیرحرفه‌ای بوده و ردپاهای زیادی از طراح و حساب کاربری او در گیت‌هاب وجود دارد. همین موضوع نشان می‌دهد که طراح این بدافزار یک فرد مبتدی بوده است. با توجه به این‌که چند وقتی است سورس کدهای مربوط به بدافزارها و باج‌افزارهای معروفی همچون ابزار پیاده‌سازی حمله توزیع‌شده (Mirai) و ابزار باج‌افزارنویسی همچون HiddenTear و Eda2 به‌طور عمومی در دسترس همه کاربران قرارگرفته است، ما هرروزه شاهد آن هستیم که هر کاربر مبتدی تصمیم می‌گیرد این کدها را دانلود کرده و فرآیند بدافزار نویسی را آزمایش کند».