- ابزارهای استخراج غیرقانونی Coinhive, Monero یا کوین هایو، در صدر شایعترین بدافزارهای دسامبر ۲۰۱۸ بودند.
- بدافزارهای استخراج کوین هایو Coinhive با تحتالشعاع قرار دادن ۱۲٪ سازمانهای جهانی بهعنوان شایعترین نمونه بدافزار مطرح شدند.
کوین هایو یک سرویس استخراج ارزهای دیجیتال است که بر قسمت کوچکی از کدهای رایانهای که برای نصب در وبسایتها طراحی شدهاند، متکی است.
اگر هیچ اطلاعاتی راجب به ارزهای دیجیتال (ماینیگ، کریپتوجکینگ) و سایر موضوعات آن ندارید؛ بهتر است که برای روشنتر شدن این حوزه، کمی در مورد ماهیت ارزهای دیجیتال و چگونگی استفاده از آنها، مطالعه بفرمایید.
پیشنهاد ما این است که برای تسلط نسبی بر دنیای ارزهای دیجیتال مقالهی ما تحت عنوان معرفی جامع کریپتوجکینگ؛ از چیستی تا خطرات و راهکارهای مقابله با آن را، مطالعه بفرمایید.
کوین هایو چیست؟
همانطور که گفتیم: کوین هایو یک سرویس استخراج ارزهای دیجیتال است که بر قسمت کوچکی از کدهای رایانهای که برای نصب در وبسایتها طراحی شدهاند، متکی است. این کد از تمام یا بخشی از قدرت محاسباتی هر مرورگری که از سایت مورد نظر بازدید میکند، استفاده میکند. همچنین دستگاهها را در تلاش برای استخراج بیتهایی از ارز دیجیتال Monero به کار میگیرد.
علاوه بر منابع دیگر کوین هایو بهعنوان منبع درآمد جایگزین استفاده میشود. بهعنوان مثال: تبلیغات، پرداخت به ازای هر کلیک و غیره.
اگرچه مالکان وبسایت باید قبل از استقرار Coinhive رضایت کاربران نهایی را کسب کنند، اما اغلب بدون رضایت کاربر و بدون گزینه انصراف اجرا میشود. بنابراین بهطور مخربی از منابع محاسباتی کاربران نهایی سوءاستفاده میکنند.
در این میان، عوامل مخرب با تزریق کد در وبسایتها، برنامههای افزودنی مرورگر و برنامههای تلفن همراه، از کوین هایو بهرهمند میشوند. از نقطه نظر کاربر نهایی، تفاوت چندانی ندارد که Coinhive توسط مجرمان سایبری مورد سوءاستفاده قرار گیرد یا توسط صاحبان وبسایتهایی که بدون رضایت آنها از آن استفاده میکنند.
کریپتوماینینگ کوین هایو در مرورگر
در سپتامبر 2017، شرکتی که ارز دیجیتال Monero (XMR) را استخراج میکند، کوین هایو را معرفی کرد. Coinhive، یک قطعه کد نوشته شده در جاوا اسکریپت است. صاحبان وبسایت میتوانند بهسادگی آن را در وبسایت خود جاسازی کنند.
کوین هایو یک مدل کسبوکار جدید برای وبسایتها معرفی کرد. او ادعا می کند که صاحبان وبسایت میتوانند تبلیغات را از وبسایتهای خود حذف کنند، بهجای آن Coinhive را بارگذاری کنند، و در حالی که کاربران بهسادگی در حال مرور وبسایت هستند، من برای آنها ارز Monero استخراج میکنم.
به این ترتیب، صاحبان وبسایتها بدون اینکه بازدیدکنندگان خود را با تبلیغات آزار دهند، همچنان میتوانند سود ببرند و از تجارت خود حمایت کنند.
هنگامی که کاربران به یک وبسایت که کوین هایو درون آن قرار دارد دسترسی پیدا میکنند، Coinhive با استفاده از منابع سیستم کاربر، فرآیند استخراج رمزنگاری را از طرف مالک وبسایت آغاز میکند. بازدیدکنندگان یک وبسایت گروهی از گرهها را نشان میدهند که کار محاسباتی فشرده را برای حل مسئله ریاضی انجام میدهند. اما، بهجای دریافت پاداش، صاحب وبسایت آن را دریافت میکند.
علاوه بر این، در موارد سوءاستفاده، یعنی زمانی که مجرمان سایبری اسکریپت استخراج رمزنگاری را در وبسایتها تزریق میکنند، مجرمان سایبری پاداش دریافت میکنند. با توجه به طنین کوین هایو (ناشی از موارد استفاده قانونی و غیرقانونی) نرمافزارهای بیشتری مشابه آن پدیدار شدند.
سوءاستفاده از کوین هایو
تکنیک ربودن مرورگرها برای استخراج ارزهای دیجیتال (بدون رضایت کاربر) “جنگ رمزنگاری” نامیده میشود. ارائه ماینرهای رمزنگاری از طریق بدافزار موضوع جدیدی نیست. با این حال، استخراج ارز دیجیتال هنگام دسترسی به یک صفحه وب جدید است.
چندین مورد از سوءاستفاده از رمزنگاری مشاهده شده است:
1) Pirate Bay
- یک وبسایت معروف به دزدیهای دریایی یکی از اولین وبسایتهایی است که عمداً از کوین هایو استفاده میکند. این اقدام او بهصورت شفاف و بدون رضایت بازدیدکنندگان انجام میشد. هنگامی که اسکریپت استخراج رمزنگاری کشف شد، Pirate Bay بیانیهای صادر کرد و ذکر کرد که در حال آزمایش این راهحل بهعنوان یک منبع درآمد جایگزین است.
- بهدنبال اخبار Pirate Bay، دو دامنه Showtime در حال بارگذاری و اجرای کوین هایو مشاهده شدند.
2) Politifact
- مورد دیگری از وبسایتی بود که کوین هایو را به بازدیدکنندگان خود ارائه میکرد. در حالی که مشخص نیست که آیا این کار از روی عمد انجام شده است یا خیر.
3) تزریق در جاوا اسکریپت
- محققان وبسایتهای وردپرس و مجنتو در معرض خطر را شناسایی کردند که Coinhive یا یک ماینر مشابه مبتنی بر جاوا اسکریپت به آنها تزریق شده بود.
- علاوه بر وبسایتها، مواردی از افزونههای مرورگر وب وجود داشت که کوین هایو را تعبیه کرده بودند. در چنین مواردی، نرمافزار رمزنگاری در پسزمینه اجرا میشود و Monero را در حین کار مرورگر استخراج میکند. این یک راه پایدارتر برای رمزنگاری است.
- یکی دیگر از موارد سوءاستفاده از کوین هایو، استفاده از آن در کنار بدافزار است. یک محقق سایتی را پیدا کرد که بهروزرسانی جعلی جاوا را ارائه میکرد. این سایت همچنین در حال استخراج Monero با استفاده از کوین هایو بود.
4) تزریق در برنامههای اندرویدی
- یک محقق امنیتی یک نسخه اندرویدی از Coinhive را مشاهده کرد که کاربران روسی را هدف قرار میدهد. برنامههای اندرویدی اضافی با استفاده از اسکریپتهای استخراج ارز دیجیتال اخیراً شناسایی شدهاند که نشان میدهد این روند در حال گسترش به برنامههای موبایل میباشد.
- کارشناسان امنیتی دریافتند که یکی از بزرگترین گروههای بدافزار را از طریق تبلیغات مخرب بهکار میبرند. در حالی که تبلیغات مخرب کاربران را به سمت کلاهبرداریهای پشتیبانی فنی هدایت میکرند، کوین هایو در مرورگر بارگذاری میشد و همزمان Monero استخراج میکرد.
5) سرویسهای ابری
- Coinhive از طریق سرویسهای ابری ربوده شده است. محققان امنیتی گزارش دادند که توسعهدهندگان و سازمانها بهدرستی از خدمات ابری خود محافظت نمیکنند. بهعنوان مثال: سیستمهای AWS، Azure و Google Cloud Platform، به مجرمان سایبری این امکان را میدهند تا آنها را به سرقت ببرند و در جهت استخراج ارزهای دیجیتال استفاده کنند. این احتمال وجود دارد که عوامل تهدید با استفاده از اعتبارنامههای پیشفرض به این سیستمها دسترسی داشته باشند.
راهکارهایی برای مقابله با هکرهای این حوزه
راهکارهای بسیاری ممکن است وجود داشته باشد. اما مهمترین و اثرگذارترین آنها به شرح زیر است:
1) رضایت کاربر و گزینه انصراف:
پس از سوءاستفاده گسترده از کوین هایو، شرکت توسعهدهنده آن، نسخه جدیدی بهنام Authedmine را منتشر کرد که صراحتاً قبل از شروع رمزنگاری به رضایت کاربر نیاز دارد.
کسبوکارهای قانونی که راهحلهای مشابه Coinhive را انتخاب میکنند، باید قبل از اجرای هر کد رمزنگاری در مرورگر خود، رضایت کاربر را درخواست و به آنها گزینه انصراف نیز ارائه دهند.
2) استفاده از مسدود کننده تبلیغات:
مسدود کنندههای تبلیغاتی معروف، بهسرعت پشتیبانی از مسدود کردن Coinhive را اضافه کردند. ازاینرو کاربرانی که از مسدودکنندههای تبلیغاتی استفاده میکنند نباید نگران رمزنگاری جاوا اسکریپت در پسزمینه باشند.
با توجه به این که، مسدودکنندههای تبلیغات میتوانند در برابر تبلیغات و اسکریپتهای ناخواسته و اغلب مخرب مفید باشند، برای شرکتهای قانونی که درآمدشان متکی به تبلیغات است نیز، میتوانند مضر باشند.
3) استفاده از افزونه مرورگر:
این مورد را برای مسدود کردن اسکریپتهای استخراج رمزنگاری در نظر بگیرید. توسعهدهندگان همچنین افزونههایی ایجاد کردهاند که کوین هایو و سایر اسکریپتهای مشابه رمزنگاری را مسدود میکنند. کاربران میتوانند این افزونهها را در بازار مرورگرهای خود جستجو کنند.
4) بهروزرسانی نرمافزار آنتیویروس:
در حال حاضر آنتیویروس و ضد بدافزارها نرمافزارهای رمزنگاری را مسدود میکنند. ازاینرو به کاربران توصیه میشود آنها را همیشه بهروز نگهدارند.
خط مقدم محافظت از امنیت کامپیوتر شما، استفاده از آنتیویروسی است که قابلیت اطمینان بالایی داشته باشد و مدام بهروزرسانی شود. ما در مجموعهی شیدافزار برای این نگرانی شما عزیزان، ضدویروس و امنیت اینترنتی شید را پیشنهاد میکنیم.
در نسخه امنیت اینترنتی شید شما میتوانید در برابر ویروسها ایمن باشید، در مقابل تهدیدهای اینترنتی محافظت شوید و نگران ایمنی خریدها، پرداختها و کارهای بانکیتان نباشید. همچنین کنترل برنامههای دستگاهتان را در دست بگیرید.
جهت آشنایی بیشتر با محصولات ما روی تصویر زیر کلیک کنید.
5) افزونههای غیرضروری مرورگر را غیرفعال کنید:
به کاربران توصیه میشود افزونههای مرورگری را که دیگر استفاده نمیکنند، غیرفعال یا حذف کنند.
تحقیقات چک پوینت
اگر اطلاعات شرکت چک پوینت را در نظر بگیریم، سازمانهای کلان تجاری به این زودیها نمیتوانند از شر حملات استخراج ارزهای دیجیتال رهایی یابند.
علاقه پابرجای مهاجمین به بدافزارهای ارز دیجیتال (علیرغم اینکه ارزش بزرگترین ارزهای دیجیتال روند نزولی داشته است) چندان تعجبآور نیست.
Omer Dembinsky رهبر تیم تحقیقات شرکت چک پوینت اعلام کرد:
ارزش اصلی اینگونه بدافزارها برای مهاجمین در این است که؛ بر خلاف باجافزارها و تروژانها، میتوانند بدون دخالت کاربر و بدون نیاز به مکانیزمهای خاص تولید سود مستقیم کنند.
در بیشتر موارد، کاربران اصلاً متوجه آلودگی نمیشوند، تا زمانی که سیستمشان بهشدت کند شود. بدافزارهایی از این قبیل که روی سرورها و کامپیوترها بزرگ اجرا میشوند ، به همین دلیل، بهسختی قابل تشخیص هستند.
وی ادامه میدهد: در کامپیوترهای شخصی، گوشیهای موبایل و سرورها و در کل هر ماشینی که قابلیت پردازش داشته باشد، بدافزارها در پسزمینه آن اجرا میشوند. بنابراین هر سیستمی یک هدف بالقوه است.
همان طور که انتظار میرفت، اکثر حفرههای امنیتی مورد استفاده در دسامبر ۲۰۱۸ در ارتباط با فعالیتهای غیرقانونی استخراج ارز دیجیتال بودند. در بالای لیست حفرهای بهنام CVE-2017-7269، وجود دارد که یک نقص امنیتی در پردازش حافظه در نرمافزار IIS مایکروسافت است . این حفره تقریباً دو سال پیش شناسایی وهمزمان وصله شد.
دلیل محبوبیت این حفره نزد مهاجمین این است که اجازه میدهد به سرورهای رده بالا (با قدرت پردازشی بسیار بالا) برای استخراج ارز دیجیتال، رخنه کنند .
جمعبندی
Cryptojacking بهسرعت به ابزار جدیدی در دست مجرمان سایبری تبدیل شد، که یکبار دیگر نشان میدهد که مجرمان سایبری حاضرند تا راههای جدید را بیابند و فرصتهای جدیدی را برای کسب سود در زمان بسیار کوتاه به دست آورند.
اولین نشانهها حاکی از آن است که مجرمان سایبری قبلاً با هزینه تقریباً صفر از این طرح سود بردهاند. این نشان میدهد که تا زمانی که سودآور باشد، به سوءاستفاده از این روش ادامه خواهند داد.
همان طور که موارد گذشته نشان میدهد، تعجبی نخواهد داشت که شاهد ترکیب چنین طرحی با انواع مختلف تهدیدات سایبری، (بهعنوان مثال: فیشینگ، باجافزار و غیره) باشیم.