اكتشفت Trend Micro مؤخرًا أن المخترقين أعادوا استخدام أداة فيروس XiaoBa Ransomware لاختراق معدني العملات الرقمية، وتصيب XiaoBa جهاز الكمبيوتر عادة، وتقوم بتشفير الملفات، وتحجز هذه الملفات رهينة حتى تقدم الضحية فدية مالية للمخترقين، ولكن في هذه الحالة، تقوم الأداة الجديدة بضخ نص التعدين الخاص بـ Coinhive في ملفات HTM وHTML المستخدمة بواسطة الكمبيوتر المصاب.
وCoinhive هو مكون مستند إلى جافا سكريبت يتم حقنه في صفحات الويب، ويستخدم معالج الكمبيوتر المخترق لتعدين العملات الرقمية في الخلفية على الرغم من أن أجهزة الكمبيوتر تحقق أداءً ملحوظًا أثناء العملية، وعادة ينتهي التعدين بمجرد ترك الصفحة التي يحقن فيها Coinhive، مما يجعل أداء المعالج الخاص بك يعود إلى سرعته، ولكن يمكن أيضًا أن تكون Coinhive مدمجة سرًا في ملحقات المتصفح، مما يجعل الهروب من العملية مستحيلًا في حين لا يزال المتصفح مفتوحًا، وفق ما ذكر موقع digitaltrends.
ويبدو أن الشكل الجديد لـ XiaoBa يحتوي على مكون من نمط worm، مما يعني أنه يمكن أن ينتشر من جهاز كمبيوتر إلى جهاز كمبيوتر متصل بشبكة محلية، مما يزيد من المكاسب المالية للقراصنة، لكن هذا ليس السيناريو الأسوأ للحالة: هذا البديل مدمر للغاية أيضًا، تصيب الشفرة المعدلة الملفات الثنائية الشرعية مثل (exe، com، scr، pif) لتسليم الفيروس ولكنها تدمر هذه الملفات في العملية.
وتقول الشركة الأمنية أنه “سوف تربط البرمجيات الخبيثة نفسها إلى أي ملف بالامتداد المذكور أعلاه” وتضيف أن “هذا هو المعيار الوحيد الذي تم فحصه قبل الإصابة، بخلاف البرامج الضارة الأخرى التي تبحث عادة عن شروط أو علامات معينة قبل إصابة الملف، كما يمر الفيروس بجميع المسارات، ولن يتجنب ملفات النظام الحرجة، ويمكن أن يجعل النظام غير مستقر بشكل كبير إذا لم يتم التعامل معه بشكل صحيح”.
تقول Trend Micro إن البرامج الضارة تصيب الملفات من جميع الأحجام ولا تترك أي علامات على الملف المصاب، مما يسمح بإصابات متعددة -10 إصابات كما وضح في مثال واحد- على جهاز كمبيوتر واحد، وبالتالي لا ينغمس المعالج فقط في جانب التعدين، ولكن العدوى “المكدسة” تستهلك كميات كبيرة من الذاكرة ومن المحتمل أيضًا مساحة كبيرة من قرص التخزين أيضًا.
وتعرف Trend Micro حاليًا عن نسختين فقط من XiaoBa، وكلاهما يحمل Coinhive، وسيعمل كل منهما على تعطيل إشعارات التحكم في حساب مستخدم Windows بينما يحذف أحدهما صور Norton Ghost وصور وسائط القرص الصلب (ISO) ويمنع الوصول إلى مواقع مكافحة الفيروسات والمواقع ذات الصلة بالحماية، ومن المفترض أن يقوم كلا منهما بحقن Coinhive script في صفحات الويب عند تنزيلها وتخزينها محليًا على جهاز الكمبيوتر.
ولكن من غير الواضح كيفية حصول أجهزة الكمبيوتر على أدوات XiaoBa في المقام الأول.
تنتشر البرامج الضارة عادةً عبر البريد الإلكتروني واحتيالات الشبكات الاجتماعية، مما يتطلب من الضحايا النقر فوق ارتباط يقوم بتنزيل الملف الضار، ووفقًا لـ Trend Micro، فإن أحد هذين النوعين ينتشر عن طريق استخدام محركات أقراص متحركة، مثل USB.
تم الإبلاغ لأول مرة عن XiaoBa بواسطة فريق MalwareHunter في نهاية عام 2017، وبمجرد وصولها إلى جهاز كمبيوتر، فإنها تتنكر على أنها ملفات نظام وتعطل جدار الحماية وتعرقل المواقع التي تركز على الأمن، كما تعدل أيضًا ملفات نظام تسجيل جهاز الكمبيوتر وتسمح للفيروسات الأخرى بإصابة النظام، وهذا لا يغطي حتى جانب الفدية، والذي يقوم بتشفير الملفات حتى يدفع الضحايا فدية.
إخلاء المسؤولية: الآراء والتحليلات والأخبار الواردة لا تعكس رأي بت شين. لا ينبغي اعتبار أي من المعلومات التي تقرأها على موقع بت شين بمثابة نصيحة استثمارية، ولا تصادق بت شين على أي مشروع قد يتم ذكره أو ربطه في هذه المقالة. يجب اعتبار شراء وتداول العملات المشفرة نشاطًا عالي المخاطر. ويرجى بذل المجهود الواجب قبل اتخاذ أي إجراء يتعلق بالمحتوى المذكور ضمن هذا التقرير. لا تتحمل بت شين أي مسؤولية في حالة خسارة الأموال في تداول العملات المشفرة.