تحذر Darktrace من حملة جديدة لتعدين العملات الرقمية قادرة على تجاوز Windows Defender حملات تعدين العملات الرقمية عبر الهندسة الاجتماعية

حددت شركة الأمن السيبراني Darktrace حملة جديدة لتعدين العملات الرقمية بشكل غير قانوني (cryptojacking) تهدف إلى تجاوز Windows Defender ونشر برنامج لتعدين العملات الرقمية.

تتضمن حملة تعدين العملات الرقمية بشكل غير قانوني، التي تم تحديدها لأول مرة في أواخر يوليو، سلسلة إصابة متعددة المراحل تقوم بهدوء باختطاف قوة معالجة الكمبيوتر لتعدين العملات الرقمية، كما أوضح باحثو Darktrace كينا غريليتشا وتارا غولد في تقرير شاركوه مع crypto.news.

وفقًا للباحثين، تستهدف الحملة بشكل خاص الأنظمة التي تعمل بنظام Windows من خلال استغلال PowerShell، وهو أداة سطر أوامر ولغة برمجة نصية مدمجة من Microsoft، حيث يتمكن المهاجمون من تشغيل نصوص خبيثة والحصول على وصول مميز إلى النظام المضيف.

تم تصميم هذه النصوص الخبيثة لتعمل مباشرة على ذاكرة النظام (RAM)، ونتيجة لذلك، فإن أدوات مكافحة الفيروسات التقليدية التي تعتمد عادة على فحص الملفات على أقراص النظام الصلبة غير قادرة على اكتشاف العملية الخبيثة.

بعد ذلك، يستخدم المهاجمون لغة البرمجة AutoIt، وهي أداة Windows تُستخدم عادة من قبل محترفي تكنولوجيا المعلومات لأتمتة المهام، لحقن محمل خبيث في عملية Windows شرعية، والتي تقوم بعد ذلك بتنزيل وتنفيذ برنامج لتعدين العملات الرقمية دون ترك آثار واضحة على النظام.

كخط دفاع إضافي، تمت برمجة المحمل لإجراء سلسلة من الفحوصات البيئية، مثل البحث عن علامات بيئة sandbox وفحص النظام المضيف بحثًا عن منتجات مكافحة الفيروسات المثبتة.

يتم تنفيذ العملية فقط إذا كان Windows Defender هو الحماية النشطة الوحيدة. علاوة على ذلك، إذا كان حساب المستخدم المصاب يفتقر إلى امتيازات المسؤول، يحاول البرنامج تجاوز التحكم في حساب المستخدم (User Account Control) للحصول على وصول مرتفع.

عندما تتحقق هذه الشروط، يقوم البرنامج بتنزيل وتنفيذ NBMiner، وهو أداة معروفة لتعدين العملات الرقمية تستخدم وحدة معالجة الرسومات في الكمبيوتر لتعدين عملات رقمية مثل Ravencoin (RVN) وMonero (XMR).

في هذه الحالة، تمكنت Darktrace من احتواء الهجوم باستخدام نظام الاستجابة الذاتية الخاص بها من خلال "منع الجهاز من إجراء اتصالات صادرة وحظر اتصالات محددة مع نقاط نهاية مشبوهة".

كتب باحثو Darktrace: "مع استمرار نمو العملات الرقمية في شعبيتها، كما هو واضح من التقييم العالي المستمر للقيمة السوقية العالمية للعملات الرقمية (ما يقارب 4 تريليونات دولار وقت كتابة التقرير)، سيستمر المهاجمون في اعتبار تعدين العملات الرقمية مشروعًا مربحًا".

حملات تعدين العملات الرقمية عبر الهندسة الاجتماعية

في يوليو الماضي، أشارت Darktrace إلى حملة منفصلة حيث استخدم المهاجمون تكتيكات هندسة اجتماعية معقدة، مثل انتحال صفة شركات حقيقية، لخداع المستخدمين لتنزيل برامج معدلة تنشر برمجيات خبيثة تسرق العملات الرقمية.

وعلى عكس مخطط تعدين العملات الرقمية غير القانوني المذكور أعلاه، استهدفت هذه الطريقة كلًا من أنظمة Windows وmacOS وتم تنفيذها من قبل الضحايا أنفسهم دون علمهم، حيث كانوا يعتقدون أنهم يتعاملون مع موظفين من داخل الشركة.