در حالی که دنیا نگران حمله بعدی گروه‌های مجرمی مثل Lazarus یا Telebots با ابزارهایی مثل WannaCryptor است کارزارهای مخفی‌تر، کم تهاجم‌تر و درآمدزاتری نیز جریان دارند. یکی از این کارزارها وب سرورهای ویندوز 2003 را برای استخراج مونرو (یکی از جایگزین‌های بیت کوین) به کار می‌گیرد.

در این کارزار مهاجمان با بهره‌گیری از یک آسیب‌پذیری در Microsoft IIS 6.0، یک نرم‌افزار کاوش مونرو را روی سرورهای وصله نشده بارگذاری می‌کند و از قدرت پردازشی سرور برای استخراج مونرو استفاده می‌کند. این بدافزار، با تغییراتی در یک نرم‌افزار مجاز استخراج مونرو ساخته شده است. طبق تحقیقات ESET، این بدافزار از ماه مه 2017 در حال کار بوده و با نفوذ به چند صد سرور موفق به اندوختن مونرو با ارزش بیش از 63 هزار دلار آمریکا شده است.

چرا مونرو و نه بیت کوین؟

مونرو ویژگی‌هایی دارد که باعث می‌شود برای این کارزار مناسب‌تر از بیت‌کوین باشد: قابل ردگیری نبودن تراکنش‌ها و وجود الگوریتمی به نام CryptoNight که می‌تواند روی CPU یا GPU اجرا شود، بر خلاف بیت کوین که استخراج آن به سخت‌افزار خاصی نیاز دارد.

ساختار بدافزار و نحوه حمله

به نظر می‌رسد مهاجمان ساده‌ترین راه را برای حمله انتخاب کرده اند: بدافزار مورد استفاده با تغییراتی اندک روی نرم‌افزار مجاز xmrig (که در 26 مه 2017 عرضه شد) به وجود آمده است. مهاجمان برای ارسال بدافزار یک آسیب‌پذیری را روی کامپیوتر قربانی اسکن می‌کردند. ESET دو آی پی را به عنوان منبع این اسکن‌ها شناسایی کرده که از ماه مه در حال استفاده بوده اند.

آسیب‌پذیری

آسیب‌پذیری مورد استفاده، که مربوط به ویندوز سرور 2003 است،  در مارس 2017 کشف شده و شناسه CVE-2017-7269 به آن اختصاص داده شده است. مایکروسافت در سال 2015 به پشتیبانی از این سیستم‌عامل پایان داده بود، اما در ژوئن 2017 برای این آسیب‌پذیری و تعدادی مشکل دیگر وصله امنیتی ارائه داد، اما همچنان سرورهای زیادی وجود دارند که این به‌روزرسانی‌ها را دریافت نکرده اند. در این صورت توصیه می‌شود وصله‌های امنیتی مربوط، مخصوصا  KB3197835 نصب شوند.

این حمله نشان می‌دهد که گاهی حتی با دانش فنی و هزینه کم و با استفاده از نقص سیستم‌های قدیمی می‌توان سود سرشاری به دست آورد.