آخرین اخبار
اخیراً یک کاوشگر ارز دیجیتالی نوشته شده به زبان پایتون و با نام PyRoMine، در حال گسترش در سیستم‌های ویندوزی است. این کاوشگر که ارز Monero را استخراج می‌کند، مشابه سایر کاوشگرها عمل می‌کند. این بدافزار از یکی از کدهای اکسپلویت NSA (آژانس امنیت ملی امریکا) به نام EternalRomance برای انتشار خود استفاده می‌کند.
 این کد اکسپلویت مربوط به یکی از ابزارهای نفوذ گروه هک ShadowBrokers است که در ماه آوریل سال گذشته در اختیار عموم قرار گرفت. این کد پس از انتشار عمومی، سال گذشته در حمله باج‌افزار BadRabbit مورد استفاده قرار گرفت. از سوی دیگر در اوایل سال جاری، EternalRomance و دو اکسپلویت دیگر (EternalSynergy و EternalChampion) در چارچوب Metasploit قرار گرفتند. بنابراین این اکسپلویت‌ها می‌توانند تمامی نسخه‌های ویندوز شامل ویندوز 2000 به بعد را هدف قرار دهند.
بدافزار PyRoMine از طریق یک فایل Zip منتشر می‌شود که حاوی یک فایل اجرایی است. لازم به ذکر است این کاوشگر از نسخه ویرایش شده EternalRomance استفاده می‌کند. زمانی که PyRoMine اجرا شود، آدرس‌های IP محلی را استخراج کرده و آلودگی خود را به سایر زیرشبکه‌ها گسترش دهد. 
نحوه عملکرد این بدافزار به این صورت است که پس از نفوذ این بدافزار به سیستم، یک اسکریپت VB در سیستم دانلود می‌شود که عملیات کاوش ارز را انجام می‌دهد. این اسکریپت یک حساب کاربری مدیریتی در سیستم ایجاد می‌کند تا از طریق آن پروتکل Remote Desktop را فعال کند و یک قانون فایروال برای باز کردن ترافیک پورت 3389 ایجاد کند. همچنین این اسکریپت سرویس بروزرسانی ویندوز را غیر فعال کرده و با اعمال سایر تنظیمات در سرویس مدیریت از راه دور ویندوز، سیستم را برای حملات آتی آماده می‌کند.
PyRoMine اولین کاوشگر ارزی نیست که از اکسپلویت‌های NSA برای گسترش استفاده می‌کند، امّا این بدافزار سیستم را به گونه‌ای پیکربندی می‌کند تا در معرض حملات بیشتر و پیچیده‌تری قرار گیرد. 
اکسپلویت‌های NSA قبلاً توسط NotPetya، WannaCry، Adylkuzz و Retefe بکار رفته‌اند ولی استفاده از این اکسپلویت‌ها توسط بدافزارهایی نظیر Smominru، WannaMine و PyRoMine نشان می‌دهد که استفاده از این اکسپلویت‌ها توسط کاوشگران ارز نیز مورد توجه قرار گرفته است. 
برای جلوگیری از آلودگی احتمالی، پیشنهاد می‌شود تا هر چه سریعتر سیستم‌های ویندوزی خود را بروزرسانی کنید.
 

 
امتیاز دهی
 
 

نسخه قابل چاپ
  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.