Avast აღმოაჩენს მავნე პროგრამის უცნაურ ახალ შტამს, რომელიც გარდა კრიპტოვალუტის მოპარვისა და ინფიცირებულ ჰოსტებზე, ის ასევე იწყებს უხეში ძალის შეტევებს WordPress საიტებზე.
მავნე პროგრამის ახალი შტამი, სახელად Clipsa, გასული წლის განმავლობაში გავრცელდა და აინფიცირებს მომხმარებლებს მთელი მსოფლიოდან.
იხილეთ ალს
- უახლესი კომპიუტერული სიახლეები CNET-ზე
რაც გამოირჩევა ამ ახალი საფრთხის შესახებ არის ის, რომ გარდა კლასიკური მავნე პროგრამის მახასიათებლებისა -- როგორიცაა კრიპტოვალუტის საფულის ფაილების მოპარვის შესაძლებლობა, კრიპტოვალუტის მაინერის დაყენება და მომხმარებლის ბუფერში გატაცება კრიპტოვალუტის მისამართების შესაცვლელად -- Clipsa ასევე შეიცავს გარკვეულწილად უცნაურ ფუნქციას, რომელიც საშუალებას აძლევს მას განახორციელოს უხეში შეტევები WordPress-ზე ვებგვერდები.
ეს ქცევა უცნაურია, ძირითადად იმიტომ, რომ WordPress საიტების წინააღმდეგ უხეში ძალისხმევის შეტევების უმეტესობა ხორციელდება ინფიცირებული სერვერების ან IoT მოწყობილობების ბოტნეტებით.
დესკტოპის მავნე პროგრამების უხეში შეტევების დაწყების ხილვა WordPress საიტებზე არ არის ახალი, მაგრამ უცნაური და ძალზე იშვიათია.
„მიუხედავად იმისა, რომ დარწმუნებით ვერ ვიტყვით, ჩვენ გვჯერა, რომ Clipsa-ს უკან არსებული ცუდი მსახიობები იპარავენ დამატებით მონაცემებს გატეხილი [WordPress] საიტებიდან“, - თქვა Avast-ის მავნე პროგრამების მკვლევარმა იან რუბინმა. ტექნიკური ღრმა ჩაძირვა Clipsa-ს მახასიათებლებში მან ამ კვირის დასაწყისში გამოაქვეყნა.
”ჩვენ ასევე გვაქვს ეჭვი, რომ ისინი იყენებენ ინფიცირებულ [WordPress] საიტებს, როგორც მეორადი C&C სერვერები მაინერებისთვის ჩამოტვირთვის ბმულების განსათავსებლად, ან მოპარული მონაცემების ატვირთვისა და შესანახად,” - თქვა მან.
Clipsa-ს კრიპტოვალუტის აკვიატება
მაგრამ მიუხედავად იმისა, რომ WordPress საიტების წინააღმდეგ უხეში ძალისხმევის შეტევები საინტერესო ფუნქციაა, Clipsa-ს მთავარი აქცენტი - ეჭვგარეშეა - კრიპტოვალუტაზე და მის მომხმარებლებზეა.
პირველი, მავნე პროგრამა დაასკანირებს მსხვერპლის კომპიუტერს wallet.dat ფაილებისთვის. ეს არის მონაცემთა ბაზის ფაილები კრიპტოვალუტის საფულის აპებისთვის. შიგნით მოთავსებული მონაცემები ნებისმიერს საშუალებას აძლევს გაიტაცეს ფული საფულის მფლობელს. Clipsa ამოიცნობს ასეთ ფაილებს და შემდეგ ატვირთავს მათ დისტანციურ სერვერზე.
მეორე, Clipsa ასევე ეძებს TXT ფაილებს, რომლებსაც ხსნის და ეძებს სტრიქონებს BIP-39 ფორმატში. ეს ტექსტური ნიმუში ძირითადად გამოიყენება ბიტკოინის მნემონური თესლის აღდგენის ფრაზების შესანახად, იგივე სიტყვების თანმიმდევრობით, რომლებიც ზოგჯერ კრიპტოვალუტის საფულის პაროლებს ემსახურება. თუ ის აღმოაჩენს ასეთ შაბლონებს, მავნე პროგრამა ინახავს ამ ტექსტებს სხვა ფაილში და ატვირთავს მას C&C სერვერზე, რათა შემდგომში მათი გამოყენება შესაძლებელი იყოს მოპარული wallet.dat ფაილების გასატეხად.
მესამე, მავნე პროგრამა ასევე აინსტალირებს პროცესს, რომელიც აკონტროლებს მომხმარებლის OS ბუფერს (სადაც კოპირებული/მოჭრილი მონაცემები ინახება ჩასმამდე). ეს პროცესი აკვირდება მოვლენებს, როდესაც მომხმარებელი აკოპირებს ან ჭრის ტექსტის შაბლონს, რომელიც ჰგავს Bitcoin ან Ethereum მისამართს. შემდეგ Clipsa გადადის ამ მისამართის ერთ-ერთი ოპერატორით ჩანაცვლების მიზნით, იმ იმედით, რომ გაიტაცეს ნებისმიერი გადახდები, რომელსაც შესაძლოა ინფიცირებული მომხმარებელი აკეთებს.
მეოთხე, ზოგიერთ შემთხვევაში, Avast ამბობს, რომ Clipsa ასევე განათავსებს XMRig-ს ინფიცირებულ ჰოსტებზე. XMRig არის ღია კოდის აპლიკაცია, რომელიც ამუშავებს Monero კრიპტოვალუტას. XMRig-ის განლაგებით, Clipsa-ს ოპერატორები დამატებით თანხებს გამოიმუშავებენ მძლავრი ტექნიკის კონფიგურაციით კომპიუტერებზე.
ინფექციის სტატისტიკა
Avast ამბობს, რომ გასული წლიდან (2018 წლის 1 აგვისტო) მათმა ანტივირუსული პროდუქტების ფლოტმა დაბლოკა Clipsa ინფექციის მცდელობა 253,000-ზე მეტი მომხმარებლისთვის.
მიუხედავად იმისა, რომ კომპანიის სტატისტიკა იძლევა ვიწრო ხედვას, რადგან ისინი მომდინარეობენ ანტივირუსული ინსტალაციების შეზღუდული რაოდენობით, სტატისტიკა აჩვენებს Clipsa-ს წვდომას, ინფექციებით მოდის მთელი მსოფლიოდან.
Avast-ის მიხედვით, Clipsa-ს ყველაზე მეტი აღმოჩენა დაფიქსირდა ისეთ ქვეყნებში, როგორიცაა ინდოეთი, ბანგლადეში, ფილიპინები, ბრაზილია, პაკისტანი, ესპანეთი და იტალია.
Avast ამბობს, რომ Clipsa-ს ინფექციების ძირითადი წყარო, როგორც ჩანს, არის კოდეკის პაკეტის ინსტალატორები მედია ფლეერებისთვის, რომლებსაც მომხმარებლები ატვირთავენ ინტერნეტიდან.
მავნე ჩამოტვირთვის ბმულებით, რომლებიც ხელმისაწვდომია ინტერნეტში თვეების განმავლობაში, ეს ასევე განმარტავს, თუ რატომ ხდება Clipsa-ს გამოვლენა აღმოჩენილია მუდმივი სიჩქარით, ვიდრე დიდ კლასტერებში -- ნიშანი იმისა, რომ მავნე პროგრამა ნაწილდება ელ.ფოსტის დიდი სპამის საშუალებით კამპანიები.
გარდა ამისა, ჯგუფი Clipsa-ს უკან, როგორც ჩანს, ასევე იღებს მოგებას, რაც იმას ნიშნავს, რომ მომავალში ამ მავნე პროგრამის მეტს ვიხილავთ.
Avast ამბობს, რომ მან გააანალიზა 9412 ბიტკოინის მისამართის ნაშთები, რომლებსაც Clipsa წარსულში იყენებდა. ჩეხეთის ანტივირუსული მწარმოებელი ამბობს, რომ Clipsa-ს ოპერატორებმა თითქმის 3 ბიტკოინი დაამზადეს 117 მისამართიდან მიღებული სახსრებიდან. ეს არის დაახლოებით $35,000 წელიწადში, მხოლოდ ინფიცირებული მომხმარებლების ბუფერების გატაცებით.
თუმცა, მავნე პროგრამის ოპერატორებმა, ალბათ, კიდევ უფრო მეტი ფული გამოიმუშავეს, თუ დავამატებთ მათ მიერ მოპოვებულ თანხებს წვდომა მოპარული wallet.dat ფაილების გატეხვით და მომხმარებლებზე Monero-ს მაინინგით მიღებული თანხებით. კომპიუტერები.
WordPress 5.0 გამოვიდა. აქ არის ახალი ფუნქციების ტური!
დაკავშირებული მავნე პროგრამებისა და კიბერდანაშაულის გაშუქება:
- AT&T-ის თანამშრომლებმა ქრთამი აიღეს კომპანიის ქსელში მავნე პროგრამების დასაყენებლად
- FBI აფრთხილებს მზარდი ტენდენციის შესახებ, როდესაც კიბერკრიმინალები ფულის ჯორებს რეკრუტირებენ გაცნობის საიტების საშუალებით
- ბარათის დარღვევის ძირითადი გაფრთხილება სამხრეთ კორეაში
- მაიკროსოფტი: რუსული სახელმწიფო ჰაკერები იყენებენ IoT მოწყობილობებს საწარმოთა ქსელების გასარღვევად
- GermanWiper ransomware მძიმედ ურტყამს გერმანიას, ანადგურებს ფაილებს, ითხოვს გამოსასყიდს
- კიბერ-ჯაშუშობის ჯგუფი ვენესუელის სამხედროების ფაილებს იპარავს
- მავნე პროგრამა ჩერდება SMB-ებში აღმოჩენამდე საშუალოდ 800 დღით ადრეTechRepublic
- აშშ-ს მერებმა გადაწყვიტეს არ გადაუხადონ ჰაკერებს გამოსასყიდი პროგრამების შეტევების გამოCNET