هشدارهای افتایی
در حال حاضر کاوش‌کننده‌های ارزهای دیجیتالی به بسیاری از بدافزارها اضافه شده‌اند. نویسندگان بدافزارها، بدنه‌های بدافزار را به منظور افزایش سودآوری تغییر می‌دهند و در فضای پر سود ارزهای کنونی، نویسندگان در حال ادغام کاوشگران و بدافزارها هستند.
پژوهشگران Trendmicro یک آلوده٬کننده فایل پیشرفته را کشف کرده‌اند که قابلیت کاوش ارز دیجیتالی را دارد. علاوه بر این، دو نسخه متفاوت دیگر نیز از این بدافزار کشف کرده‌اند. این آلوده‌کننده فایل که XiaoBa نام دارد، تفاوت زیادی با باج‌افزار XiaoBa دارد. بنظر می‌رسد که کد این باج‌افزار بازبینی شده است و به آن قابلیت‌های جدیدی اضافه شده است تا به یک کاوشگر ارز مخرب تبدیل شود.
این آلوده‌کننده فایل به حدی مخرب است که در صورت آلوده کردن فایلی، قابلیت اصلی آن فایل از بین می‌‍رود و این فایل به عنوان میزبان، فعالیت‌های بدافزار را ادامه می‌دهد. برای مثال وقتی فایل آلوده calc.exe توسط XiaoBaMiner اجرا شود، کد بدافزار را اجرا خواهد کرد و دیگر calc.exe اصلی کار نخواهد کرد. در کنار آلوده کردن فایل‌های اجرایی، XiaoBa یک کاوشگر ارزدیجیتالی نیز هست. این بدافزار اسکریپت کاوش Coinhive را به فایل‌های با پسوند html و htm تزریق می‌کند. بدنه اصلی بدافزار، کاوشگر ارز دیجیتالی است و با تزریق اسکریپت Coinhive به دستگاه قربانی انجام می‌شود. نوع دیگری از بدافزار XiaoBa شامل اسکریپت تزریق کد است اما علاوه بر آن، حاوی نسخه‌های 32 و 64 بیتی کاوشگر XMRing نیز است.
همانطور که اشاره شد، این بدافزار و باج‌افزار RANSOM_XIAOBA که برای اولین بار در اکتبر 2017 دیده شده، کاملا متفاوت هستند و ساختار کد آنها قابل تفکیک است. این تفاوت احتمالا بدلیل هدف نویسنده برای استخراج ارزدیجیتالی است.
بدافزار XiaoBa فایل‌های اجرایی را آلوده می‌کند و برای پایداری بیشتر، رجیستری‌های safeboot را حذف می‌کند تا ورود کاربر به safe mode غیر ممکن شود. همچنین بدافزار فایل‌های host ویندوز را نیز به گونه‌ای ویرایش می‌کند تا آدرس‌های آنتی‌ویروس‌ها و جرمشناسان به localhost منتقل شوند. در ادامه، بدافزار برای یافتن پسوندهای exe، com، scr و pif سیستم قربانی را جستجو و آلوده می‌کند. در نهایت فایل‌های دارای پسوند gho و iso را پاک می‌کند. این دو پسوند مربوط به ایمیج‌های CD و فایلهای ایمیج آنتی‌ویروس‌ها است. 
طبق تحلیل Trendmicro، بدافزار هیچ محدودیت حجمی برای آلوده‌سازی فایل‌ها ندارد و فایل‌هایی با حجم 4b تا 200MB و بالاتر را آلوده می‌کند. برای مقابله با این آلوده‌کننده فایل، باید از آنتی‌ویروس‌های بروز  استفاده کرد.

IoCها:
منبع:
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.