بدافزار سرقت رمزپول Cryptojacking چیست و چگونه با آن مقابله کنیم
Cryptojacking چیست
سالانه افراد زیادی تحت تاثیر حملات سایبری قرار میگیرند که این حملات در بعضی مواقع ممکن است خساراتی جبران ناپذیر را به همراه داشته باشد. در سال ۲۰۱۷ گروهی از هکرها با استفاده از Cryptojacking یا بدافزار سرقت رمزپول توانستند به یک سری از سایتهای پر مخاطب دسترسی پیدا کنند و اطلاعات شخصی مشتریان آن سایتها را بدست بیاورند که همین موضوع در سراسر کشورها خبرساز شد.
هر زمان کسی از یک سایت آلوده بازدید میکند هکرها میتوانند کامپیوتر بازدید کننده را بدزدند و از قدرت پردازش آن برای استخراج ارز رمزنگاری شده استفاده کنند. قابل ذکر است که Cryptojacking یک نوع بدافزار است که باعث سرقت رمزپول میشود.
سرقت رمزپول جدیدترین روشهای خلافکارانه است که کسب درآمد آن از طریق سخت افزار رایانههای قربانیان میباشد. روش کار بدافزار سرقت رمزپول بسیار ساده است به طور مثال شما وارد یک سایت آلوده به این بدافزار میشوید آن سایت از تمامی انرژی و توان سی پی یو (CPU) شما برای استخراج رمزپول استفاده میکند.
امروزه در دنیای دیجیتالی ما این نوع بدافزارها بسیار زیاد شدهاند به طوری که هر سالانه میتوانیم شاهد چندین نوع از این حملات بدافزاری و سرقتهای سایبری باشیم.
به نوعی بدافزار Cryptojacking یک فعالیت بدخواهانه است که میتواند بدون آگاهی فرد از سخت افزار سیستم قربانی بیشترین سود را ببرد و هکرها به نوعی این بدافزار را طراحی کردهاند که قربانی به راحتی متوجه حضور آن نشود.
نحوه کار ارزهای رمزپایه
ابتدا اجازه دهید برای درک بهتر بدافزار سرقت رمزپول Cryptojacking کمی در رابطه با استخراج ارزهای رمز پایه سخن بگوییم. ارزهای رمز پایه پیش نیازی بر درک بهتر و صحیحتر از سرقت رمز پول است.
ارزهای رمزنگاری شده مانند بیت کوین توسط بانک یا دولت پشتیبانی یا نگهداری نمیشوند بلکه به این نوع از ارزها، ارزهای غیر متمرکز میگویند که از یک پایگاه داده توزیع شده استفاده میکنند. همچنین ارزهای رمز پایه به عنوان بلاک چین نیز شناخته میشوند.
بلاک چین به طور منظم با اطلاعات مربوط به تمام معاملات انجام شده از طریق آخرین بروزرسانی، بروز میشود. هر مجموعه از معاملات جدید با استفاده از یک فرایند پیچیده ریاضی به یک block تجزیه و ترکیب میشود اینجاست که میگوییم عمل استخراج اتفاق افتاده است.
ارزهای رمزپایه برای تامین توان محاسباتی مورد نیاز خود برای تولید بلوکهای جدید به افراد با سابقه برای انجام این کار نیازمند هستند. برای ارزشمند کردن کار این فرآیند، ارزهای رمزپایه به افرادی که این منابع محاسباتی را ارزیابی میکنند و آن را بدست میآورند، پاداش مناسبی میدهد. افرادی که منابع محاسباتی را با ارز مبادله میکنند به عنوان استخراج کنندگان شناخته میشوند.
اینگونه میشود که هکرها با استفاده از بدافزار سرقت رمز پول Cryptojacking میتوانند بدون پرداخت هزینهای و در کمترین زمان مقدار ارز مورد نظر خود را از سیستم قربانی استخراج کنند.
بدافزار سرقت رمزپول Cryptojacking چگونه حمله میکند؟
اکثریت حملات Cryptojacking با استفاده از JavaScript در وب سایتها اتفاق میافتد وقتی قربانی وارد یک سایت آلوده به ویروس میشود و محتویات آن سایت آلوده را بارگیری میکند اینجاست که یک اسکریپت (Script) مخفی در سایت آلوده تمامی ارزهای رمزنگاری شده را از سیستم قربانی استخراج میکند.
برخی از سایتها هستند که به همین منظور (استخراج ارزهای رمزنگاری) طراحی شدهاند اما در این میان ممکن است کدهای مخربی نیز به سایتهای معروف تزریق شود که نتیجه آن سرقت رمزپول میشود.
در بسیاری از موارد مجرمان اینترنتی به سادگی کدی را که توسط سرویس استخراج Coinhive منتشر شده است را با یکدیگر تطبیق میکنند و پس زمنیهای برای استخراج ارزهای رمزنگاری شده ایجاد میکنند.
رمزنگاری drive-by
این حملات به رمزنگاری drive-by معروف هستند و میتوانند مدتها پس از ترک قربانی از صفحه آلوده، ادامه داشته باشند. اسکریپتهای مخرب به طور معمول پنجرههای pop-under را که از دید پنهان هستند باز میکنند و روند استخراج را ادامه میدهند تا زمانی که مرورگر کاملاً بسته شود یا دستگاه خاموش شود.
در حالی که این نوع حملات هنوز وجود دارند اما بسیار کمتر شدهاند. مرورگرها و فایروالهای مدرن برای جلوگیری از اسکریپتهای رمزنگاری شده طراحی شدهاند که این حملات را به حداقل خود برسانند.
در عوض حملات بدافزار cryptojacking در نوع حملهی خود تفاوت ایجاد کردند که سیستم دیگری را مورد هدف قرار دهند که آن سیستم، سخت افزارهای دستگاههای هوشمند مبتنی بر جاوا است.
این برنامههای مخرب منحصراً دستگاههای Android را هدف قرار میدهند زیرا هر دو برنامه iOS و Windows Mobile به زبانهای برنامهنویسی مختلف نوشته شدهاند. این حملات به شکل اسبهای تروجان (trojan horses) در میآیند که جزء نوعی از نرم افزارهای مخرب شمرده میشوند.
trojan horses به عنوان یک برنامه بی ضرر مانند یک بازی ساده ظاهر میشود و هر زمان که برنامه در پس زمینه باز یا در حال اجرا باشد، از سخت افزار دستگاه برای استخراج ارز رمزنگاری شده استفاده میکند.
چگونه بدافزار سرقت رمزپول Cryptojacking گسترش پیدا میکند؟
از آنجا که بیشتر حملات Cryptojacking اکنون به صورت برنامههای Android شیوع پیدا کرده است بهتر است نحوه توزیع و گسترش آن را بدانید. سه کانال برای توزیع بدافزار سرقت رمزپول Cryptojacking وجود دارد:
فروشگاه Play Store
گرچه Google Play Store برای شناسایی برنامههای مخرب بررسیهای لازم را انجام میدهد اما به طور شگفت انگیزی برای هکرها آسان است که برنامههای نامناسب را از کنترل و امنیت گوگل پلی رد کنند. برنامههای مخرب معمولاً پس از مدت کوتاهی برطرف میشوند اما مهم است که درک کنیم بارگیری برنامههای ناشناخته خطرات زیادی دارد، حتی اگر از فروشگاههای رسمی باشند.
فروشگاههای متفرقه
فروشگاههایی در این میان هستند که ممکن است امنیت و سختگیری کمتری نسبت به دیگر فروشگاهها داشته باشند مانند: Appstore و APKMirror. همین موضوع باعث میشود که مهاجمان به راحتی بتوانند کار خود را انجام دهند.
ایمیلهای فیشینگ
ایمیلهای فیشینگی به نوعی یکی از حملات کلاسیک هکرها به شمار میآیند و یک کانال توزیع بسیار موثر برای انواع بدافزارها هستند که میتوانند خود را به عنوان یک بازی یا یک برنامه سرگرمکننده مشابه، معرفی کنند. ایمیلهای فیشینگ اغلب بسیار سادهاند و شامل پیوندی برای بارگیری Cryptojacker از فروشگاه متفرقه هستند.
اگر فکر میکنید که هیچگاه در دام ایمیلهای فیشینگ نمیافتید، بهتر است دوباره فکر کنید.
چگونه تشخیص دهیم رمزنگاری شدهایم یا خیر؟
حال با این تفاسیر ممکن است برایتان سوال به وجود بیاید که حالا ما از کجا تشخیص دهیم که رمزنگاری شدهایم یا خیر؟! برای پاسخ دادن به این سوال باید بگوییم که راه تشخیص دستگاه رمزنگاری شده همیشه آسان نیست برخلاف دیگر بدافزارها، Cryptojacking به نوعی طراحی شده است که به راحتی خود را نشان نمیدهد.
با این وجود علائم هشدار دهندهای وجود دارد که باید به آنان توجه کنید. اکثر مهاجمان و هکرها حریص هستند بنابراین اسکریپتهایی طراحی میکنند که اغلب به دستگاههای آلوده میگویند که از ۱۰۰٪ منابع موجود برای استخراج استفاده کنند. در نتیجه، دستگاههای رمزنگاری شده اغلب:
- بیش از اندازه داغ میکنند.
- باتری آنان به سرعت تمام میشود.
- دستگاه دچار اختلالات گوناگون میشود و …
اگر گمان میکنید دستگاه Android شما مورد حمله بدافزار سرقت رمزپول Cryptojacking قرار گرفته است سریعا بررسی کنید کدام برنامهها در حال حاضر باز و در حال اجرا هستند اگر بسته شدن یک برنامه باعث میشود همه چیز به حالت طبیعی خود برگردد، ممکن است یک برنامه که دارای کریپتویکر (cryptojacker) است در دستان خود داشته باشید.
اگر از دستگاه Windows یا macOS استفاده میکنید از برنامههای Task Manager یا Activity Monitor برای استفاده از منابع کمک بگیرید. اگر مرورگر شما به طور ناگهانی شروع به استفاده از منابع بیش از حد انتظار کرد، سعی کنید آن را کاملاً خاموش کرده و دوباره باز کنید.
نکته: صرف نظر از نوع دستگاهی که استفاده میکنید اجرای اسکنهای ضد ویروس، همیشه ایده خوبی است.
چگونه میتوان از حمله بد افزار Cryptojacking جلوگیری کنیم؟
این روزها حملات رمزنگاری مبتنی بر مرورگر دیگر تهدید بزرگی نیست زیرا با وجود آنتی ویروس و محصولات فایروال اسکریپتهای cryptojacking به صورت خودکار غیرفعال میشوند. با این حال نیز باید مراقب دستگاه خود باشید زیرا ممکن است ناگهان رمزنگاری شود.
برای ایمن نگه داشتن دستگاه خود به نکات زیر توجه کنید:
- نسبت به نصب هر نوع برنامه جدیدی، احتیاط کنید مخصوصا اگر برنامه توسط شرکت ناشناختهای توسعه یافته باشد.
- به برنامههایی که باعث داغ شدن دستگاه شما میشوند یا سریعا باتری گوشی را خالی میکنند بسیار توجه کنید.
- از ایمن بودن برنامههای موجود در تلفن همراه خود اطمینان حاصل کنید.
- به ایمیلها، مخصوصاً به ارسال کنندگان ناشناس مشکوک باشید. اگر ایمیلی ادعا میکند از طرف یک دوست است اما شما احساس خوبی به آن ایمیل ندارد بهتر است با استفاده از کانال دیگری (پیامک یا تماس تلفنی) با دوستتان تماس بگیرید تا مطمئن شوید که واقعاً از طرف آن ایمیل ارسال شده است.
تمامی مواردی که برایتان ذکر کردیم میتوانند تا حدودی شما را در برابر بدافزار سرقت رمزپول Cryptojacking حفظ کنند و اما ناگفته نماند که امروزه ایمن ماندن در عصر دیجیتالی، نبردی همیشگی است که بهتر است همیشه شما برنده آن باشید.