منذ نوفمبر 2021، يقوم المجرمون الإلكترونيون بالاستفادة من أداة ويندوز لتوزيع برامج الاستخراج الخبيثة للعملات الرقمية، كما هو موضح في تقرير لـ تالوس إنتليجنس لشركة سيسكو. يقوم الأشخاص الضارون بتلاعب بمثبت Windows Advanced Installer، وهو برنامج يساعد مطوري البرامج في تجميع مثبتات البرامج الأخرى، مثل Adobe Illustrator، لتنفيذ سكربتات خبيثة على الأنظمة المخترقة.
البرامج المستهدفة والضحايا
تتأثر مثبتات البرامج التي تم استهدافها في هذا الهجوم بشكل رئيسي بالنمذجة ثلاثية الأبعاد والتصميم الجرافيكي. يُستخدم معظم مثبتات البرامج المستخدمة في حملة برامج الاستخراج الخبيثة هذه باللغة الفرنسية، مما يشير إلى أن الضحايا من المحتمل أن يكونوا من مختلف قطاعات الأعمال، مثل الهندسة المعمارية والهندسة والبناء والتصنيع والترفيه في الدول الناطقة بالفرنسية. تشير التحليلات إلى أن المستخدمين في فرنسا وسويسرا هم الأكثر تأثرًا، مع وجود بعض الحالات في بلدان أخرى، بما في ذلك الولايات المتحدة وكندا والجزائر والسويد وألمانيا وتونس ومدغشقر وسنغافورة وفيتنام.
طريقة العمل
يستخدم التشغيل الخبيث لعمليات الاستخراج الرقمي المكتشفة بواسطة تالوس سكربتات ضارة باستخدام PowerShell ونصوص الدفعة الخاصة بنظام التشغيل ويندوز لتنفيذ الأوامر وإنشاء باب خلفي على جهاز الضحية. يشتهر PowerShell، على وجه الخصوص، بالعمل في ذاكرة النظام بدلاً من القرص الثابت، مما يجعله أكثر صعوبة في اكتشاف الهجوم.
بعد تثبيت الباب الخلفي، يطلق المهاجم تهديدات إضافية مثل برنامج التعدين لعملة Ethereum بمسمى PhoenixMiner، و lolMiner، وهو تهديد لتعدين العملات المتعددة. يتم تنفيذ هذه السكربتات الضارة باستخدام ميزة Custom Action في Advanced Installer، التي تتيح للمستخدمين تحديد مهام التثبيت المخصصة مسبقًا. تكون الحمولات النهائية هي PhoenixMiner و lolMiner، وهما برامج استخراج عملات متاحة للجمهور تستغل إمكانيات وحدة المعالجة الرسومية للكمبيوتر.
ظاهرة التعدين السري
تُشار إلى استخدام برامج الاستخراج الخبيثة للعملات الرقمية بأنها التعدين السري. يتضمن ذلك تثبيت رمز التعدين للعملات الرقمية على جهاز دون موافقة المستخدم للتعدين غير القانوني للعملات الرقمية. تشمل إشارات أن برامج الاستخراج قد تعمل على الجهاز الحرارة المرتفعة والأداء الضعيف. ليست ممارسة استخدام عائلات البرامج الضارة لاختطاف الأجهزة للتعدين أو سرقة العملات الرقمية أمرًا جديدًا. اكتشفت شركة بلاك بيري، العملاقة السابقة في صناعة الهواتف الذكية، مؤخرًا سكربتات برامج ضارة تستهدف بنشاط ما لا يقل عن ثلاثة قطاعات، بما في ذلك الخدمات المالية والرعاية الصحية والحكومة.
نظرًا لهذه التهديدات الناشئة، من الأمر المهم البقاء على اطلاع واتخاذ التدابير الوقائية. أحد الطرق للقيام بذلك هو استخدام منصات مثل cryptoview.io، التي توفر رؤى قيمة حول سوق العملات الرقمية ويمكنها مساعدة المستخدمين على مواكبة المخاطر المحتملة.
نص الدعوة للتحركتذكر، إن العالم الرقمي مليء بالتهديدات المحتملة. كن يقظًا، وابق على علم، والأهم من ذلك، كن آمنًا.
