کمپین هوشمند بدافزار استخراج کریپتو توانسته است برای سالها ناشناخته بماند و بیش از 100000 کاربر را در 11 کشور آلوده کرده است.
بر اساس گزارشی که توسط شرکت Check Point Software Technologies منتشر شده است، یک کمپین فعال بدافزار استخراج ارز دیجیتال بیش از 111000 کاربر را در آلمان، اسرائیل، لهستان، ایالات متحده و سایر کشورها آلوده کرده است.
بازیگران بد در وب سایت هایی مانند سافت پدیا که دارای نرم افزار رایگان هستند، برای قربانیان تله می گذارند. آنها آنها را فریب می دهند تا نسخه دسکتاپ سرویس هایی مانند موزیک یوتیوب و مترجم مایکروسافت را دانلود کنند. گرفتن؟ این سرویس ها در واقع نسخه دسکتاپ رسمی ندارند.
این کمپین که سال ها تحت رادار بوده است، ظاهراً با یک توسعه دهنده نرم افزار ترکیه ای به نام Nitrokod مرتبط است که ادعا می کند نرم افزار رایگان ارائه می دهد.
به دلیل فرآیند پیچیده عفونت چند مرحله ای، موفق شد برای مدت طولانی شناسایی نشده باقی بماند. با به تأخیر انداختن اجرای بدافزار برای هفتهها پس از نصب و حذف همه ردپاها، پیوند بدافزار به یک نصب ناموفق خاص بسیار دشوار است.
پس از اجرا، بدافزار با اتصال به سرور فرمان و کنترل خود و دریافت ابزار استخراج CPU XMRig، عملیات استخراج رمزنگاری مونرو (XMR) را آغاز میکند. به منظور اطمینان از فعال ماندن بدافزار، یک کار برنامه ریزی شده برای اجرای کلاهبرداری هر روز تنظیم شده است.
چک پوینت ادعا میکند که حتی کاربران غیرمجاز نیز میتوانند به مجموعه ابزارهای ضروری دسترسی داشته باشند که تنها با چند کلیک قابل نصب است.
مونرو به دلیل ویژگیهای ناشناس بودن، ارز ترفند بلامنازع کریپجکرها باقی میماند. یک مطالعه در سال 2019 نشان داد که استخراج غیرقانونی کریپتو مسئول 4 درصد از کل عرضه در گردش مونرو است .
