طبق اعلامیه که دیروز منتشر شد، تیم امنیتی GuardiCore متوجه وجود کمپینی با هدف دستکاری مخرب ترافیک و استخراج ارز رمزپایه شده است. بدافزار Prowli بیش از 40,000 دستگاه را در بین صنایع مختلف از جمله صنایع مالی، آموزشی و حکومتی آلوده کرده است.
این کمپین با نام Operation Prowli شناخته می شود که از تکنیک های مختلفی از جمله اجرای کد های مخرب (Exploit) و حملات متداول برای یافتن پسورد برای گسترش بدافزارش و تسلط بر دستگاه هایی که آلوده شده اند مانند وب سرور ها، مودم ها و دستگاه های مجهز به اینترنت اشیا، استفاده می کند.
تیم GuardiCore متوجه شده است که هدف حملات صورت گرفته توسط Prowli نه عقدیتی یا جاسوسی بلکه پول درآوردن بوده است.
طبق گزارش، دستگاه هایی که مورد نفوذ قرار گرفته بودند، تحت تاثیر یک ماینر مونرو (XMR) و یک کرم به نام r2r2 بوده اند که این بدافزار از دستگاه های هک شده با استفاده از دستورات SSH حملات Brute Force انجام می داده و از بدافزار Prowli پشتیبانی می کرده تا بتواند قربانی های بیشتری بگیرد.
به عبارتی دیگر، با ساخت بلاک های آدرس IP به صورت تصادفی، کرم r2r2 سعی داشته تا با فهرستی از نام کاربری و رمز های عبور دسترسی SSH به سرور ها ایجاد و پس از موفقیت برای ورود به سرور، دستورات مخربش را بر روی دستگاه قربانی اجرا کند. این تیم امنیتی در این باره می نویسد :
حملات همگی به یک شکل انجام گرفته است که شامل ارتباط با یک سرور C&C برای دانلود ابزار های حمله به نام r2r2 و یک ماینر ارز رمزپایه می باشد
علاوه بر این، سارقان مجازی از یک شل قابل اجرا تحت وب به نام WSO Web Shell برای تغییر وبسایت های هک شده به منظور میزبانی از کد های مخربی که بازدیدکنندگان وبسایت را به سیستم توزیع ترافیک هدایت می کند، استفاده کرده اند که سپس کاربر ها به دیگر وبسایت های مخرب هدایت می شوند.
به محز این که به یک وبسایت جعلی هدایت شوند، کاربران با کلیک بر روی افز.نه مخرب مرورگر وب تبدیل به قربانی می شوند. تیم GuardiCore گفته است که بدافزار Prowli موفق شده تا بیش از 9,000 شرکت را آلوده کند.
ماه گذشته، یک بدافزار سرقت ارز رمزپایه تازه، از نیم میلیون کامپیوتر برای استخراج 133 توکن مونرو در 3 روز استفاده کرد. شرکت فعال در زمینه امنیت در فضای مجازی، 360 Total Security متوجه وجود این بدافزار شد که ادعا کرد که نام آن WinstarNssmMiner است و توانایی این را دارد تا علاوه بر استخراج ارز رمزپایه بتواند باعث ایجاد اختلال در کارکرد دستگاه ها شود.
برای آگاهی از آخرین نوشته ها، خبر ها و تحلیل های کوتاه به کانال تلگرام پی98 بپیوندید.
