گزارش هشت کریپتوجکینگ در مایکروسافت استور

گزارش هشت کریپتوجکینگ در مایکروسافت استور

شرکت سیمنتک (Symantec) اخیراً اعلام کرد که تعدادی برنامه ناخواسته (PUA) در مایکروسافت استور (Microsoft store) پیدا کرده است. برنامه ناخواسته (potentially unwanted application) نرم­ افزارهایی هستند که بدون کسب اجازه از کاربر و به ­صورت مخفیانه بر روی سیستم نصب می ­شوند.

این نرم ­افزارها ممکن است امنیت کاربر را تحت ­الشعاع قرار دهند. از اینرو آنتی ­ویروس­ها همواره با چنین نرم‌افزارهایی مقابله می­ کنند. برنامه‌های ناخواسته ممکن است تبلیغات مزاحم بر روی سیستم نمایش دهند یا از منابع سیستم برای مقاصد طراح آن استفاده کنند. این هشت برنامه ناخواسته از منابع سیستم برای استخراج رمزارز استفاده می­ کردند.

­چنین نرم ­افزارهایی که از منابع سیستم کاربر برای استخراج رمزارز استفاده می­ کنند کریپتوجکینگ (Cryptojacking) یا کریپتوماینر (Cryptominer) نامیده می ­شوند. افزایش ارزش رمزارز­ها از سال 2017 بسیاری از مجرمان سایبری را برای طراحی و انتشار چنین نرم ­افزارهای مخربی تحریک کرده است، به­ طوری­ که شاهد گسترش انواع آن طی سال­های اخیر بوده ­ایم. طبق اعلام سیمنتک، این هشت برنامه مخرب را در هفدهم ژانویه کشف کرده و به مایکروسافت نیز اعلام کرده است. مایکروسافت نیز با دریافت این گزارش اقدام به حذف آن­ها نموده است.

اسامی این هشت برنامه مخرب عبارتست از: Fast-search Lite، Battery Optimizer (Tutorial)، VPN Browser+، Downloader for YouTube Videos، Clean Master+ (Tutorial)، FastTube، Findoo Browser 2019 و Findoo Mobile and Desktop Search.

طبق گزارش سیمنتک، هر هشت برنامه نام­برده بدون آگاهی کاربر، اقدام به استخراج مونرو (Monero) می‌کردند. همچنین بررسی­ های بیشتر سیمنتک نشان می ­دهد تمامی کریپتوجکینگ­های نام­برده توسط یک شخص یا گروه طراحی و منتشر شده است. هرچند که توسط سه توسعه­ دهنده با اسامی دی‌جی‌دریم (DigiDream)، وان‌کلین (1clean) و فین‌دو (Findoo) منتشر شده ­اند.

هر هشت مورد به یک روش عمل کرده و به محض نصب شدن برروی سیستم قربانی اقدام به فراخوانی گوگل تگ منیجر (Google Tag Manager) می‌کنند تا با استفاده از آن، کد مخرب برای رسیدن به هدف مهاجم را دانلود و اجرا کنند. بررسی ترافیک این برنامه­ ها نشان می­ دهد که هر هشت برنامه به یک آدرس ثابتی برای دریافت کد استخراج مونرو متصل می­ شوند. در این آدرس، کد جاوااسکریپت رمزشده ­ای موجود است که نسخه‌ای از کوین‌هایو (Coinhive) می­ باشد. کوین­هایو از سال 2017 برای استخراج مونرو توسعه داده شده است.

این کد، تمامی منابع موجود سیستم را برای استخراج استفاده می­ کند. قبلاً نیز گزارش­ هایی مبنی بر استفاده از کوین­هایو برای استخراج مونرو در کریپتوجکینگ­ها منتشر شده است. ضمناً این هشت برنامه در توضیحات خود ادعا کرده ­اند که حریم خصوصی کاربر را حفظ می­ کنند ولی هیچ توضیحی درباره استخراج مونرو به کاربر اعلام نمی­ کنند.

این برنامه­ ها در بازه زمانی آپریل و دسامبر 2018 منتشر شده­ اند. اگرچه مدت کوتاهی در مایکروسافت استور بوده ­اند ولی تعداد قابل توجهی آن­ها را دانلود و نصب کرده ­اند. البته تعداد دقیق کاربران به دلیل وجود ریویوهای جعلی (fake review) امکان ندارد.

شرکت­های امنیتی موارد زیر را برای حفظ امنیت کاربران دربرابر کریپتوجکینگ­ها توصیه می­ کنند:

نرم­ افزارهای کاربردی خود را به روز نگهدارید.

از سایت­های ناشناس نرم ­افزار دانلود نکنید.

تنها از منابع مورداعتماد برنامه­ های کاربردی خود را نصب کنید.

به مجوزهای مورد درخواست نرم­ افزار توجه کنید.

به میزان مصرف پردازشگر و اشغال حافظه سیستم خود توجه کنید.

برنامه ­های امنیتی مناسب را برروی سیستم خود نصب کنید.

از داده ­های مهم خود به ­صورت منظم پشتیبان تهیه کنید.

fa.counos.io