القراصنة يستعملون نسخة مزورة من تحديث الفلاش  لزرع ملف تعدين العملات الرقمية

لقد تم اكتشاف أن تحديثات Adobe Flash المزعجة يتم استخدامها في تثبيت البرامج الخبيثة لتعدين العملات الرقمية على شبكات الكمبيوتر والشبكات خلسة ، مما يخلق خسائر فادحة في الوقت ، وأداء النظام ، واستهلاك الطاقة للمستخدمين المتضررين.

قراصنة الانترنيت يزرعون ملفات خبيثة لتعدين العملات الرقمية في حاسوب الضحية

تحميل البرمجيات الخبيثة لتعدين العملات الرقمية

في حين أن تحديثات الفلاش المزيفة التي دفعت البرمجيات الخبيثة كان من السهل و على الفور تجنبها ، فقد استخدم القراصنة حيل جديدة تعمل خلسة على تحميل برمجيات لتعدين العملات الرقمية على أنظمة الويندوز.

وقال Brad Duncan، المحلل الاستخباراتي في وحدة التهديد في وحدة 42 ، في مقال له في أحد المراكز يكشف عن المخطط الخبيث للقراصنة :

“في وقت مبكر من أغسطس 2018 ، استدعت بعض العينات التي تنتحل تحديثات الفلاش إشعارات منبثقة من مثبت Adobe الرسمي. تعمل تحديثات الفلاش المزوّرة هذه على تثبيت برامج غير مرغوب فيها مثل XMRig cryptocurrency miner ، ولكن يمكن لهذه البرامج الضارة أيضًا تحديث Flash Player التابع للضحية إلى أحدث إصدار. ”

إن الآثار المترتبة على هذا السيناريو غير السار هو أن الضحية المحتملة قد لا تلاحظ أي شيء خارج عن المألوف في حين يعمل XMRig cryptocurrency miner أو برنامج آخر غير مرغوب فيه بهدوء في خلفية كمبيوتر الضحية. يمكن أن يبطئ برنامج التعدين هذا من معالج حاسوب الضحية ، أو يتلف محرك الأقراص الصلبة ، أو يستخرج البيانات السرية وينقلها إلى منصات رقمية أخرى دون موافقة الضحية.

التفاصيل الفنية لبرامج Adobe Fake Update Cryptojacking Malware

أوضح دنكان أنه ليس من الواضح تمامًا كيف يصل الضحايا المحتملين إلى عناوين URL التي تقدم تحديثات الفلاش المزيفة ؛ ومع ذلك ، كانت حركة مرور الشبكة أثناء عملية الإصابة مرتبطة بشكل أساسي بتحديثات الفلاش المحتالة. ومن المثير للاهتمام أن خادم الونداوز المصاب يقوم بإنشاء طلب HTTP POST إلى [osdsoft [.] com] ، وهو مجال مرتبط بمحدثين أو مُثبِّتين يضغطون على عمال التعدين.

وقال إنه بينما بحث فريق البحث عن تحديثات معينة خاصة بالفلاش ، فقد راقب بعض الملفات التنفيذية لـ Windows بأسماء تبدأ من Adobe Flash Player من خوادم الويب غير المستندة إلى Adobe ، المستندة إلى مجموعة النظراء. تحتوي هذه التنزيلات عادةً على سلسلة “flashplayer_down.php؟ clickid =” في عنوان URL. كما عثر الفريقان على 113 نموذجًا من البرامج الضارة التي تستوفي هذه المعايير منذ آذار 2018 في AutoFocus. يتم تعريف 77 من هذه العينات الضارة بعلامة CoinMiner في AutoFocus. تشترك العينات الـ36 المتبقية في علامات أخرى مع تلك الملفات التنفيذية المتعلقة بـ 77 عملة معدنية.

شجع دنكان مستخدمي ويندوز على أن يكونوا أكثر حذرا حول نوع تحديثات ادوبي فلاش التي يحاولون تثبيتها ، مشيرا إلى أنه في حين أن ميزات النوافذ المنبثقة والتحديث تجعل المثبت المزيف يبدو أكثر شرعية ، فإن الضحايا المحتملين سيظلون يتلقون إشارات تحذير حول تشغيل التنزيلات الملفات على جهاز الكمبيوتر الخاص بهم ويندوز.

في كلماته:

“إن المنظمات التي تتمتع بتصفية جيدة للراغبين في الويب والمستخدمين المتعلمين تقل لديهم مخاطر الإصابة بهذه التحديثات المزيفة.”

وذكرت شبكة (CCN) مؤخراً أن تقريرًا من مختبرات McAfee أظهر ارتفاع ملفات cryptojacking الى نسبة 86٪ في الربع الثاني من عام 2018 ، وارتفع بنسبة 459٪ في 2018 حتى الآن و خلال عام 2017 بأكمله.