کریپتوسیبوله، بدافزاری که به سه طریق رمزارزها را سرقت می‌کند

شرکت ایست (Eset) یک بدافزار ویندوزی را کشف کرده و نام آن را کریپتوسیبوله (KryptoCibule) گذاشته است. این بدافزار پیچیده، اقدام به سرقت رمزارزها می‌کند.

 کریپتوسیبوله، بدافزاری که به سه طریق رمزارزها را سرقت می‌کند

شرکت ایست (Eset) یک بدافزار ویندوزی را کشف کرده و نام آن را کریپتوسیبوله (KryptoCibule) گذاشته است. این بدافزار پیچیده، اقدام به سرقت رمزارزها می‌کند.

این بدافزار از سال 2018 فعال بوده اما به تازگی کشف شده است. به گزارش ایست، کریپتوسیبوله کاربران رمزارزها را هدف قرار می‌دهد و دارای سه قابلیت است. 1- روی سیستم قربانی، ارزکاو نصب می‌کند که با سوءاستفاده از توان پردازشی سیستم ارز استخراج می‌کند 2- فایل‌های مربوط به کیف‌های پول را سرقت می‌کند و 3- وقتی کاربر قصد دارد مبلغی را به یک کیف پول واریز کند و آدرس آن را در کلیپ بورد کپی می‌کند، بدافزار آدرس قرار گرفته در کلیپ بورد را با آدرس کیف پول مجرمان عوض می‌کند تا پول به حساب آن‌ها هدایت شود.

این سه ویژگی حاصل عرق جبین (!) تبهکاران سایبری است که از اواخر سال 2018 به مرور اجزاء بیشتری را به کد آن اضافه کرده‌اند. کریپتوسیبوله به آرامی تبدیل به یک تهدید ترکیبی شده است که از اکثر بدافزارهایی که تاکنون مشاهده شده‌اند پیچیده‌تر است. در حال حاضر بدافزار از طریق فایل‌های تورنت (torrent) پخش می‌شود. این فایل‌های تورنت مربوط به نرم‌افزارهای مسروقه هستند، یعنی نرم‌افزارهایی که بر خلاف قانون کپی رایت، کپی شده‌اند. وقتی کاربر این فایل‌ها را دانلود می‌کند، نرم‌افزار مورد نظرش نصب می‌شود، اما در کنار آن نصب کننده بدافزار نیز اجرا می‌شود.

نصب کننده یک وظیفه زمان‌بندی شده (scheduled task) ایجاد می‌کند که هر پنج دقیقه اجرا می‌شود و فایل اجرایی اصلی بدافزار را اجرا می‌کند. در نتیجه پس از ریبوت شدن سیستم هم بدافزار از کار نمی‌افتد. اسم این وظیفه Adobe Update Task گذاشته می‌شود تا شک کاربر را برنینگیزد. سپس نصب کننده، هسته اصلی بدافزار، ماژول سرقت از کلیپ بورد و کلاینت‌های تور (Tor) و تورنت را نصب می‌کند.

کریپتوسیبوله از کلاینت Tor برای ارتباط امن با سرور کنترل و فرمان (C&C) خود استفاده می‌کند که بر روی وب تاریک قرار دارد. به همین دلیل در نام بدافزار از کلمه Cibule (پیاز به زبان چک و اسلواکی) استفاده شده است. کلاینت تورنت برای دانلود ماژول‌های بیشتر مورد استفاده قرار می‌گیرد، ماژول‌هایی مثل پراکسی سرورها، ماژول‌های ارزکاو و سرورهای HTTP و SFTP که هر کدام در یک یا چند عملکرد بدافزار نقش دارند.

روی هم رفته کریپتوسیبوله خبر بدی برای کاربران رمزارزها است، زیرا به وضوح توسط افرادی طراحی شده که از دانش روز درباره عملیات بدافزارها برخوردار هستند. خبر خوبی هم وجود دارد، البته نه برای مردم جمهوری چک و اسلواکی. خبر خوب این است که به نظر می‌رسد کریپتوسیبوله با وجود پیچیدگی‌هایی که دارد، تنها به دو کشور نامبرده محدود است.

محققان ایست میگویند تقریباً همه فایل‌های مخربی که حاوی نرم‌افزارهای مسروقه و بدافزار کریپتوسیبوله بوده‌اند، تنها روی دامین uloz.to قرار داشته‌اند که یک سایت محبوب اشتراک‌گذاری فایل در این دو کشور است. البته نباید تصور کنیم که بدافزار در آینده هم به این دو کشور محدود خواهد ماند.

کاربران باید مراقب تهدیداتی مثل کریپتوسیبوله باشند و ساده‌ترین راه برای مصون ماندن از آن‌ها خودداری از نصب نرم‌افزار مسروقه است. چندین گزارش منتشر شده در دهه اخیر به کاربران هشدار داده‌اند که فایل‌های تورنت مربوط به نرم‌افزارهای مسروقه معمولاً بدافزار به همراه خود دارند و نصب کردن آن‌ها به خطرشان نمی‌ارزد.

منبع: Eset و ZDNet

 

کلمات کلیدی