طبق گزارش اخیر محققان مایکروسافت، یک کمپین مخرب شناسایی شده است که سیستمهای مجهز به سختافزارهای قدرتمند را هدف قرار میدهد. در این عملیات، بدافزار استخراج رمزارز مبتنی بر کارت گرافیک (GPU) از طریق تکنیکهای آلودهسازی سئو (SEO Poisoning) منتشر شده و با سوءاستفاده از چتباتهای هوش مصنوعی، کاربران را به صفحات دانلود آلوده هدایت میکند. این کمپین نشان میدهد که بدافزار استخراج رمزارز مبتنی بر کارت گرافیک در حال تبدیل شدن به یکی از تهدیدات جدی در حوزه استخراج غیرقانونی ارزهای دیجیتال است.
روشهای نوین توزیع بدافزار استخراج رمزارز مبتنی بر کارت گرافیک
مهاجمان با هدف قرار دادن نرمافزارهای سیستمی پرکاربرد مانند CrystalDiskInfo، HWMonitor، Display Driver Uninstaller، FurMark، K-Lite Codec Pack و PDFgear، لینکهای مخرب خود را با استفاده از تکنیک آلودهسازی سئو در رتبههای بالای نتایج جستوجو قرار دادهاند. در نتیجه، زمانی که کاربر فایل ZIP آلوده را دانلود و اجرا میکند، زنجیره آلودگی آغاز شده و بدافزار استخراج رمزارز مبتنی بر کارت گرافیک روی سیستم فعال میشود. این آرشیو مخرب شامل فایل اجرایی قانونی نرمافزار موردنظر و یک DLL مخرب است که از طریق تکنیک بارگذاری جانبی DLL (DLL Side-Loading) بارگذاری میشود. در ادامه، ابزار مدیریت و دسترسی از راه دور ScreenConnect روی سیستم نصب شده و امکان دسترسی پایدار مهاجم به دستگاه قربانی را فراهم میکند. فایل ZIP مخرب از طریق یکی از زیردامنههای gleeze[.]com توزیع میشود؛ دامنهای که پیشتر نیز به دلیل ارتباط با وبسایتهای فیشینگ شناسایی و گزارش شده بود.
تاثیر هوش مصنوعی در گسترش حملات
گزارشها نشان میدهد این کمپین تنها به آلودهسازی سئو محدود نبوده است. برخی کاربران هنگام دریافت پیشنهاد دانلود نرمافزار از چتباتهای هوش مصنوعی، با لینکهایی به دامنههای تحت کنترل مهاجمان مواجه شدهاند. این موضوع نشان میدهد مهاجمان برای توزیع بدافزار استخراج رمزارز مبتنی بر کارت گرافیک دیگر صرفاً به وبسایتهای جعلی و نتایج جستوجو متکی نیستند، بلکه از اعتماد کاربران به ابزارهای هوش مصنوعی نیز برای هدایت قربانیان به زیرساختهای مخرب خود سوءاستفاده میکنند.
سازوکار آلودگی و پایداری استخراج رمزارز مبتنی بر کارت گرافیک
پس از دانلود فایل ZIP آلوده، DLL مخرب همراه با فایل اجرایی قانونی نرمافزار موردنظر روی سیستم اجرا میشود. بر اساس یافتههای مایکروسافت، این DLL از ابزار قانونی msiexec.exe برای نصب فایل vcredist_x64.dll استفاده میکند؛ فایلی که در عمل، بسته نصب (Installer) برای ابزار دسترسی از راه دور ScreenConnect است. پس از برقراری ارتباط از طریق ScreenConnect، مهاجم فایل SimpleRunPE.exe را روی سیستم قربانی قرار میدهد. این فایل نسخهای از خود را با نام RuntimeHost.exe در یک پوشه مخفی ذخیره کرده و با ایجاد شش مکانیزم پایداری (Persistence Mechanisms) در چندین نقطه اجرای خودکار ویندوز، ماندگاری بدافزار را پس از هر بار راهاندازی مجدد سیستم تضمین میکند.
تکنیکهای فرار از شناسایی
در برخی موارد، فایل مخرب از طریق یک اسکریپت PowerShell روی سیستم قرار گرفته و با نام vlc.exe ذخیره میشود تا خود را بهعنوان فایل اجرایی VLC Media Player جا بزند. همچنین بررسی مسیر پایگاه داده برنامه (PDB) فایل SimpleRunPE.exe نشان میدهد این ابزار احتمالاً بر پایه یک پروژه عمومی مرتبط با Process Hollowing (خالیسازی پردازه) توسعه یافته است.
در ادامه حمله، مهاجمان با استفاده از تکنیک Process Hollowing کد مخرب را داخل پردازههای قانونی و امضاشده مایکروسافت تزریق میکنند تا شناسایی دشوارتر شود. در این مرحله از ابزارهایی مانند InstallUtil.exe، RegAsm.exe، RegSvcs.exe، MSBuild.exe، AppLaunch.exe، AddInProcess.exe و aspnet_compiler.exe سوءاستفاده میشود. همچنین بدافزار از PowerShell برای افزودن مسیرها و پردازههای مرتبط با خود به فهرست استثناهای Microsoft Defender استفاده میکند.
علاوه بر این، پیش از ادامه فعالیت، محیط سیستم برای شناسایی ماشینهای مجازی (Virtual Machines) و حدود 40 پردازه مرتبط با ابزارهای تحلیل امنیتی بررسی میشود. در صورت شناسایی هر یک از این موارد، بدافزار اجرای خود را متوقف میکند تا از تحلیل و شناسایی آن جلوگیری شود.
تمرکز بر سیستمهای قدرتمند برای افزایش سودآوری
پس از تکمیل مراحل مخفیسازی، یکی از ماژولهای استخراج ارز دیجیتال شامل gminer، lolMiner یا SRBMiner-MULTI دانلود و اجرا میشود. تمامی این ابزارها برای استفاده از توان پردازشی کارتهای گرافیک (GPU) طراحی شدهاند.
آنچه این کمپین را از بسیاری از حملات رمزارزی یا به عبارتی کریپتوجکینگ (Cryptojacking) متمایز میکند، رویکرد هدفمند آن در انتخاب قربانیان است. مهاجمان بهدنبال سیستمهایی هستند که از سختافزار گرافیکی قدرتمند برخوردار باشند تا بیشترین بازده استخراج رمزارز را از هر دستگاه آلوده به دست آورند. مایکروسافت تأکید میکند این کمپین از ابتدا با هدف دستیابی به بیشترین بازده استخراج از هر دستگاه آلوده طراحی شده است. به همین دلیل، مهاجمان بهجای افزایش تعداد قربانیان، بر شناسایی و هدفگیری سیستمهایی تمرکز دارند که بالاترین ظرفیت را برای استخراج رمزارز فراهم میکنند.
راهکارهای امنیتی برای مقابله با تهدیدات
برای مقابله با بدافزار استخراج رمزارز مبتنی بر کارت گرافیک، سازمانها باید اتصالات غیرعادی ScreenConnect، مصرف غیرعادی منابع GPU و تغییرات مشکوک در فهرست استثناهای Microsoft Defender را بهدقت نظارت کنند. همچنین توصیه میشود کاربران نرمافزارهای مورد نیاز خود را تنها از منابع رسمی دریافت کرده و نسبت به لینکهای پیشنهادی در نتایج جستوجو یا پاسخهای تولیدشده توسط ابزارهای هوش مصنوعی در وبسایتهای ناشناس احتیاط کنند.
