گر یک فایل ویدئویی با فرمت zip از دوستان و آشنایان خود در فیسبوک دریافت کردید، به هیچ وجه روی آن کلیک نکنید.
محققان امنیتی Trend Micro در این باره هشدار دادند، یک نوع بات جدید در فیس بوک شناسایی شده است که از نوع ماین کردن کریپتوکارنسی ها یا همان ارزهای رمزنگاری شده است. این بات مخرب از طریق فیس بوک گسترش می یابد و کاربران مرورگر گوگل کروم را مورد هدف قرار می دهد تا بتواند از افزایش اخیر در قیمتهای ارزهای رمزنگاریشده بهرهمند شود.
نام این بات خطرناک Digmine است. این بات از نوع ماین کردن کریپتوکارنسی های Monero است که خود را به جای یک فایل ویدئویی video_xxxx.zip جا می زند. پس از کلیک بر روی آن، بدافزار سیستم قربانی را الوده می سازد و اجزا و فایل های مخرب خود را از یک سرور فرمان و کنترل از راه دور دانلود می کند.
این بات خطرناک یک ماینر رمزنگاری را همانند miner.exe که نمونه ی اصلاح شده ی ماینر منبع باز Monero است و به عنوان XMRig شناخته می شود را نصب می کند. حال این نرم افزار به صورت پنهانی کریپتوکارنسی Monero را به دور از چشم کاربر و برای مجرمان با استفاده از قدرت پردازنده ی کامپیوترهای آلوده ماین می کند.
اما این تمام فعالیت های خرابکارانه ی Digmine نیست. این بات علاوه بر ماینر کریپتوکارنسی ها، کروم را توسط یک افزونه ی مخرب اجرا می کند که این عمل به مجرمان اجازه می دهد که به پروفایل قربانیان دسترسی یابند و یک فایل بدافزار مشابه را از طریق نرم افزار پیام رسان و برای مخاطبین آن ها ارسال کند.
همانطور که می دانید افزونه های کروم تنها از فروشگاه رسمی کرم قابل نصب هستند و این موضوع می تواند برای مجرمان مشکل ساز شود. اما آن ها هیچ گاه نا امید نمی شوند و از طریق command line این مرحله را دور می زنند.
محققان شرکت امنیتی Trend Micro در رابطه با این بات می گویندد: "این افزونه تنظیمات خود را از طریق سرور C&C دریافت میکند. این سرور قادر است به افزونه دستور دهد تا به حساب کاربری فیسبوک قربانی واردشده یا یک صفحه جعلی را که یک ویدیو را نمایش میدهد، باز کند. این وبسایت فریبنده که این ویدیو را نمایش میدهد بهعنوان بخشی از سرورفرمان و کنترل عمل میکند. این سایت وانمود میکند که یک سایت پخش ویدیو است اما طبیعتا این طور نیست و به جز آن بسیاری از تنظیمات مربوط به اجزای این بدافزار را نیز در خود نگاه می دارد".
جالب توجه است که کاربرانی که از طریق تلفن های هوشمند خود این فایل ویدئویی مخرب را در فیس بوک باز می کنند، دچار آلودگی نمی شوند. از آنجایی که این ماینر از سرور فرمان و کنترل، اداره می شود، مجرمان پشت آن می توانند بدافزار خود را به منظور افزودن قابلیت های جدید و مختلف ارتقاء دهند.
چه کسانی قربانیان این بات مخرب بوده اند؟
Digiminer ابتدا کاربران کره ی جنوبی را مورد هدف قرار داد و تاکنون به کشورهای ویتنام، آذربایجان، اوکراین، فیلیپین، تایلند و ونزوئلا نفوذ کرده است.
از زمانی که فیس بوک متوجه این موضوع شده است، بسیاری از فایلهای مخرب را از این وبسایت پر طرفدار حذف کرده است.
کمپین های اسپم فیس بوک به کرات دیده می شود از این رو به کاربران توصیه می گردد هنگام کلیک کردن بر روی فایل ها و لینک ها دقت کافی داشته باشند و تا حد امکان بر روی لینک های غیر ضروری کلیک نکنند.
محققان امنیتی Trend Micro در این باره هشدار دادند، یک نوع بات جدید در فیس بوک شناسایی شده است که از نوع ماین کردن کریپتوکارنسی ها یا همان ارزهای رمزنگاری شده است. این بات مخرب از طریق فیس بوک گسترش می یابد و کاربران مرورگر گوگل کروم را مورد هدف قرار می دهد تا بتواند از افزایش اخیر در قیمتهای ارزهای رمزنگاریشده بهرهمند شود.
نام این بات خطرناک Digmine است. این بات از نوع ماین کردن کریپتوکارنسی های Monero است که خود را به جای یک فایل ویدئویی video_xxxx.zip جا می زند. پس از کلیک بر روی آن، بدافزار سیستم قربانی را الوده می سازد و اجزا و فایل های مخرب خود را از یک سرور فرمان و کنترل از راه دور دانلود می کند.
این بات خطرناک یک ماینر رمزنگاری را همانند miner.exe که نمونه ی اصلاح شده ی ماینر منبع باز Monero است و به عنوان XMRig شناخته می شود را نصب می کند. حال این نرم افزار به صورت پنهانی کریپتوکارنسی Monero را به دور از چشم کاربر و برای مجرمان با استفاده از قدرت پردازنده ی کامپیوترهای آلوده ماین می کند.
اما این تمام فعالیت های خرابکارانه ی Digmine نیست. این بات علاوه بر ماینر کریپتوکارنسی ها، کروم را توسط یک افزونه ی مخرب اجرا می کند که این عمل به مجرمان اجازه می دهد که به پروفایل قربانیان دسترسی یابند و یک فایل بدافزار مشابه را از طریق نرم افزار پیام رسان و برای مخاطبین آن ها ارسال کند.
همانطور که می دانید افزونه های کروم تنها از فروشگاه رسمی کرم قابل نصب هستند و این موضوع می تواند برای مجرمان مشکل ساز شود. اما آن ها هیچ گاه نا امید نمی شوند و از طریق command line این مرحله را دور می زنند.
محققان شرکت امنیتی Trend Micro در رابطه با این بات می گویندد: "این افزونه تنظیمات خود را از طریق سرور C&C دریافت میکند. این سرور قادر است به افزونه دستور دهد تا به حساب کاربری فیسبوک قربانی واردشده یا یک صفحه جعلی را که یک ویدیو را نمایش میدهد، باز کند. این وبسایت فریبنده که این ویدیو را نمایش میدهد بهعنوان بخشی از سرورفرمان و کنترل عمل میکند. این سایت وانمود میکند که یک سایت پخش ویدیو است اما طبیعتا این طور نیست و به جز آن بسیاری از تنظیمات مربوط به اجزای این بدافزار را نیز در خود نگاه می دارد".
جالب توجه است که کاربرانی که از طریق تلفن های هوشمند خود این فایل ویدئویی مخرب را در فیس بوک باز می کنند، دچار آلودگی نمی شوند. از آنجایی که این ماینر از سرور فرمان و کنترل، اداره می شود، مجرمان پشت آن می توانند بدافزار خود را به منظور افزودن قابلیت های جدید و مختلف ارتقاء دهند.
چه کسانی قربانیان این بات مخرب بوده اند؟
Digiminer ابتدا کاربران کره ی جنوبی را مورد هدف قرار داد و تاکنون به کشورهای ویتنام، آذربایجان، اوکراین، فیلیپین، تایلند و ونزوئلا نفوذ کرده است.
از زمانی که فیس بوک متوجه این موضوع شده است، بسیاری از فایلهای مخرب را از این وبسایت پر طرفدار حذف کرده است.
کمپین های اسپم فیس بوک به کرات دیده می شود از این رو به کاربران توصیه می گردد هنگام کلیک کردن بر روی فایل ها و لینک ها دقت کافی داشته باشند و تا حد امکان بر روی لینک های غیر ضروری کلیک نکنند.
