موجی جدید اما پنهان از بدافزارهای استخراج رمزارز، بار دیگر در فضای وب گسترش یافته است. این کمپین، با بهرهگیری از زیرساختهای قدیمی و سایتهایی که پیشتر هک شدهاند، بیش از ۳,۵۰۰ وبسایت را به اسکریپتهایی آلوده کرده که مرورگر کاربران را بدون اطلاع یا رضایت آنها به ابزار استخراج مونرو (Monero) تبدیل میکنند.
به گزارش میهن بلاکچین، این بدافزار برخلاف باجافزارها، نه گذرواژهها را میدزدد و نه فایلها را قفل میکند، بلکه با بهرهبرداری پنهان از توان پردازشی سیستم کاربران، درآمدی کوچک اما مداوم از طریق ماینینگ مونرو ایجاد میکند.
کریپتوجکینگ و استخراج مونرو
بر اساس یافتههای شرکت امنیت سایبری سی ساید (c/side)، این کمپین فعال که همچنان در حال گسترش است، بهگونهای طراحی شده که از شناسایی شدن توسط ابزارهای مرسوم جلوگیری کند.
پژوهشگران سی ساید اعلام کردند که این اسکریپتها با کاهش مصرف پردازنده (CPU throttling) و استفاده از ارتباط وبساکت (WebSocket)، نشانههای معمول حملات کریپتوجکینگ (Cryptojacking) را پنهان میکنند.
کریپتوجکینگ – یا همان استخراج غیرمجاز رمزارز بااستفاده از منابع کاربر – نخستین بار در سال ۲۰۱۷ با ظهور کوینهایو (Coinhive) به شهرت رسید. این سرویس حالا از کار افتاده، اما برای مدت کوتاهی صحنه اصلی این نوع حملات بود.
پس از تعطیلی کوینهایو در سال ۲۰۱۹، گزارشها درباره میزان شیوع این حملات متفاوت بود؛ برخی آن را کمرنگ توصیف کردند، در حالی که برخی آزمایشگاههای امنیتی از ۲۹٪ افزایش آن خبر دادند.
اما حالا، بهنظر میرسد این روش دوباره با رویکردی متفاوت در حال بازگشت است. تمرکز این رویکرد متفاوت بر «پنهان ماندن و استخراج آهسته» است.
به گفته یک پژوهشگر امنیت سایبری که نخواست نامش فاش شود، مهاجمان از زیرساختهایی که پیشتر در حملات میجکارت (Magecart) در اختیار گرفته بودند – نظیر سایتهای وردپرسی (WordPress) و فروشگاههای آنلاین – مجدد استفاده کردهاند.
استخراج مخفیانه، بدون مصرف بالا
این حمله برخلاف نسلهای قبلی اسکریپتهای کریپتوجکینگ که با مصرف بالای CPU شناسایی میشدند، از وب اسمبلی (WebAssembly) برای اجرای سریعتر کد در مرورگر و از وبساکت برای حفظ ارتباط دائمی با سرور استفاده میکند. این ترکیب باعث میشود فرآیند استخراج با مصرف محدود منابع و بدون جلبتوجه صورت گیرد.
این اسکریپتها بهطور مستقیم کاربران کریپتو را هدف قرار نمیدهند و مثلاً کیف پولی را خالی نمیکنند. با این حال به گفته همان پژوهشگر، در صورت نیاز میتوانند چنین قابلیتی را هم به کد اضافه کنند.
هدف اصلی این حمله، در واقع صاحبان وبسایتها و اپلیکیشنهای تحتوب هستند که بدون اطلاعشان به بستری برای استخراج رمزارز تبدیل شدهاند.
