یک حملهی در حال انجام علیه کیف پولهای Electrum Bitcoin بزرگتر و قویتر شده است و حملهکنندگان در حال حاضر کل زیرساخت این ارز دیجیتالی را با یک باتنت مورد هدف قرار داده و بیش از ۱۵۲،۰۰۰ کاربر را آلوده کردهاند. مبلغ به سرقت رفته از کاربران به ۴٫۶ میلیون دلار رسیده است.
Electrum در ماه دسامبر سال گذشته با حملات سایبری مواجه شده است، درحالیکه یک گروه از مجرمان سایبری از یک ضعف در زیربنای Electrum استفاده میکنند تا کاربران کیف پولهای دیجیتال را به دانلود نسخههای موذی این نرمافزار سوق دهند.
بهطور خلاصه، مهاجمان بعضی از سرورهای موذی را به شبکه Electrum اضافه کردند که طوری طراحی شده بود که عمداً خطایی را برای برنامههای کیف پول Electrum نمایش دهد و آنها را مجبور به دریافت یک بهروزرسانی نرمافزاری موذی برای این کیف پول دیجیتالی از مخزن غیررسمی GitHub میکرد.
حمله phishing درنهایت به مهاجمان اجازه میداد که پولهای دیجیتالی را از این کیف پولها سرقت کنند (تقریباً ۲۵۰ بیت کوین که در آن زمان برابر با ۹۳۷٫۰۰۰ دلار بود) و کنترل کامل سیستمهای آلودهشده را در اختیار گیرند.
برای مقابله با این، توسعهدهندگان پشت Electrum از یک تکنیک مشابه تکنیک مهاجمان بهمنظور تشویق کاربران برای دانلود آخرین نسخهی وصله شده از برنامه این کیف پول دیجیتال، استفاده کردند.
توسعهدهندگان Electrum در ماه مارس توییت کردند[۱]: “مشتریان Electrum دارای نسخهی قدیمیتر از ۳٫۳ دیگر نمیتوانند به سرورهای electrum عمومی متصل شوند. ما شروع به بهرهبرداری از آسیبپذیری DOS در آن دسته از مشتریان کردیم تا مجبور شوند برنامههای خود را ارتقا دهند و از پیامهای phishing جلوگیری شود. کاربران Linux Tail باید Appimage ما را دانلود کنند.”
در پاسخ به این، مهاجمان پسازآن DDoSing سرورهای قانونی Electrum را شروع کردند تا تلاش کنند مشتریهای قدیمیتر را به اتصال به nod های موذی ترغیب کنند، بدین منظور که nod های قانونی تحت load زیاد قرار گیرند.
بر اساس یک پست منتشرشده[۲] توسط تیم تحقیقاتی Malwarebytes Labs، تعداد ماشینهای آلودهای که این نرمافزار موذی سرویسگیرنده را دانلود کرده و بهطور ناخواسته در حملات DDoS شرکت دارند، به ۱۵۲،۰۰۰ عدد رسیده است که هفته گذشته کمتر از ۱۰۰،۰۰۰ عدد بوده است.
مهاجمان پشت این کمپین در اصل یک باتنت دژافزار را که ElectrumDoSMiner نامیده میشود را گسترش دادهاند. این مهاجمان عمدتاً با استفاده از یک کیت بهرهبردار RIG، Smoke Loader و یک Loader جدید BeamWinHTTP که مستند نشده است، این دژافزار را توزیع میکنند.
محققان دراینباره خاطرنشان میکنند: “صدها مورد از binary های موذی وجود دارد که ElectrumDoSMiner را بازیابی میکنند. ما بر این باوریم که احتمالاً شاخصهای آلودگی بسیار بیشتر از مواردی است که تاکنون کشفشدهاند.”
به گفتهی این محققان، بیشترین تعداد رباتهای Electrum DDoS، در منطقه آسیای اقیانوسیه (APAC)، برزیل و پرو قرار دارند و این باتنت همچنان در حال رشد است.
محققان دراینباره گفتند: “تعداد قربانیانی که بخشی از این باتنت هستند، بهطور مداوم در حال تغییر است. ما اعتقاد داریم که برخی از ماشینها تمیز شدهاند و بعضی از ماشینها بهتازگی آلودگی شدهاند و به دیگر ماشینها برای انجام حملات DoS ملحق شدند. Malwarebytes آلودگیهای ElectrumDoSMiner را در بیش از ۲۰۰۰ endpoint بهطور روزانه تشخیص داده و پاک میکند.”
ازآنجاییکه نسخههای بهروز شدهی Electrum در برابر حملات فیشینگ آسیبپذیر نیستند، به کاربران توصیه میشود که برنامههای کیف پول دیجیتالی خود را به آخرین نسخه یعنی ۳٫۳٫۴ بهروزرسانی کرده و آن را از طریق سایت رسمی electrum.org بهروز کنند[۳].
در همین حال، به کاربران اپلیکیشن کیف پول Electrum توصیه میشود که ویژگی اتصال خودکار را غیرفعال کنند و سرور خود را بهصورت دستی انتخاب کنند تا از حملات DDoS جلوگیری کنند.
منابع
[۱] https://twitter.com/ElectrumWallet/status/1106479573917724672
[۲]https://blog.malwarebytes.com/cybercrime/2019/04/electrum-ddos-botnet-reaches-152000-infected-hosts
[۳] https://electrum.org/#download
[۴] https://thehackernews.com/2019/04/electrum-bitcoin-wallet-botnet.html
ثبت ديدگاه