CryptoSink

CryptoSink الوصف

في عام 2019 ، اكتشف باحثو البرمجيات الخبيثة حملة تعدين غير قانونية مشفرة باسم CryptoSink. يبدو أن المهاجمين يستغلون ثغرة أمنية معروفة للتغلب على الأنظمة المستهدفة. يسمى استغلال المستخدم في عملية CryptoSink "CVE-2014-3120" ، ويرتبط بإصدار أقدم من تطبيق Elasticsearch. البرنامج المعني متوافق مع أنظمة Windows و Linux. نظرًا لهذه الحقيقة ، فإن مشغلي حملة CryptoSink جعلوا تهديدهم متوافقًا مع كلا نظامي التشغيل.

كسب الثبات

للتسوية على النظام المستهدف ، سيؤدي تهديد CryptoSink إلى حقن متغير معدّل من منجم العملة المشفرة XMRig الشهير. بناءً على ما إذا كان التهديد قد تم نشره على نظام Windows أو نظام Linux ، فسوف يكتسب ثباتًا على المضيف بشكل مختلف. للحصول على الثبات على جهاز كمبيوتر يعمل بنظام Windows ، فإن تهديد CryptoSink سيستخدم العديد من الحيل الأساسية. ومع ذلك ، عندما يهدد تهديد CryptoSink نظام Linux ، فسيتعين عليه استخدام تقنيات أكثر تعقيدًا لكسب الثبات. بمجرد تمكن برنامج CryptoSink الخبيث من إصابة نظام Linux ، فسوف يجلب العديد من الحمولات التالفة التي ستساعد المهاجمين في الوصول إلى الجهاز الخلفي. تم الإبلاغ عن تهديد CryptoSink أيضًا لتعديل الأمر 'rm' ، مما يعني أنه في كل مرة يتم استخدام هذا الأمر ، على وجه الخصوص ، سيتم تنفيذ البرامج الضارة CryptoSink. وبهذه الطريقة ، حتى لو قام المستخدم بإزالة الملفات المرتبطة بنشاط البرامج الضارة CryptoSink ، بمجرد استخدام الأمر 'rm' ، سيتم إعادة نشر التهديد.

إزالة المنافسين

تم تصميم عامل المنجم للتعدين لعملة التشفير Monero. تهديد CryptoSink قادر أيضًا على اكتشاف ما إذا كان هناك عامل منجم عملة مشفرة آخر موجود على الكمبيوتر المصاب. في حالة اكتشاف أي عمال مناجم منافسين ، سيحاول تهديد CryptoSink إيقاف أنشطتهم. ومع ذلك ، فإن البرامج الضارة CryptoSink لا تزيل ببساطة عمال المناجم الآخرين الذين قد يكونون قد تعرضوا للنظام للخطر ؛ تتأكد من أنه إذا حاول النظام الاتصال بقائمة مسبقة التكوين من تجمعات التعدين ، فسيتم إعادة توجيه حركة المرور إلى "127.1.1.1" على الفور. هذا يمنع عمال المناجم المتنافسين من الاتصال بمجمع التعدين المحدد مسبقًا.

عملية CryptoSink متقدمة للغاية ، ويمكن أن تكون إزالة عامل المنجم من مضيف محفوف بالمخاطر صعبة للغاية. تأكد من تثبيت حل أصلي لمكافحة البرامج الضارة يساعدك في إزالة تهديد CryptoSink.