الرئيسية / أخبار تقنية / فايروس التعدين المشفر Smominru يصيب أكثر من 90،000 جهاز كمبيوتر في جميع أنحاء العالم

فايروس التعدين المشفر Smominru يصيب أكثر من 90،000 جهاز كمبيوتر في جميع أنحاء العالم

ساعدت الأجهزة غير الآمنة المتصلة بالإنترنت أنواعًا مختلفة من الجرائم الإلكترونية لسنوات وأكثرها شيوعًا هي حملات DDoS والبريد العشوائي لكن مجرمي الإنترنت قد تحولوا الآن نحو مخطط مربح حيث لا تقوم الروبوتات فقط بإطلاق DDoS أو البريد العشوائي بل إنها تعمل على استخراج العملات المشفرة أيضًا.

 أصبح Smominru وهو نظام شهير لتعدين العملات المشفرة وروبوتات سرقة بيانات الاعتماد وأحد فيروسات الكمبيوتر التي تنتشر بسرعة والتي تصيب الآن أكثر من 90.000 جهاز كل شهر في جميع أنحاء العالم.

 على الرغم من أن الحملات التي تقوم باختراق أجهزة الكمبيوتر باستخدام شبكة Smominru الروبوتية لم يتم تصميمها لمتابعة الأهداف التي لها أي اهتمام محدد فإن التقرير الأخير من الباحثين في Guardicore Labs سلط الضوء على طبيعة الضحايا والبنية التحتية للهجوم.

ووفقا للباحثين في الشهر الماضي فقط أصيبت أكثر من 4900 شبكة من الدودة دون أي تمييز والعديد من هذه الشبكات لديها العشرات من الأجهزة الداخلية المصابة.

 تشمل الشبكات المصابة مؤسسات التعليم العالي ومقرها الولايات المتحدة والشركات الطبية وحتى شركات الأمن السيبراني التي تضم أكبر شبكة تابعة لمزود للرعاية الصحية في إيطاليا مع ما مجموعه 65 مضيفًا مصابًا.

نشط منذ عام 2017 تقوم Smominru botnet بتسوية أجهزة ويندوز بشكل أساسي باستخدام EternalBlue وهو استغلال تم إنشاؤه بواسطة وكالة الأمن القومي الأمريكية ولكن تم تسريبه لاحقًا إلى الجمهور من قِبل مجموعة Shadow Brokers للقرصنة ثم استخدمه بشكل كبير هجوم WannaCry Ransomware الثابت في عام 2016.

 تم تصميم الروبوتات للحصول على وصول مبدئي على الأنظمة التي تكون عرضة للإصابة بهجمات الفيروسات من خلال اعتماد بيانات الاعتماد الضعيفة التي تفرضها خدمات ويندوز المختلفة بما في ذلك MS-SQL و RDP و Telnet.

بمجرد الحصول على وصول مبدئي إلى الأنظمة المستهدفة يقوم Smominru بتثبيت وحدة طروادة وعمال المناجم المشفرة وينتشر داخل الشبكة لتسخير طاقة وحدة المعالجة المركزية لأجهزة الكمبيوتر الشخصية للضحايا لتدمير Monero وإرسالها إلى محفظة يملكها مشغل البرمجيات الضارة.

قبل شهر واحد تم الكشف عن أن المشغلين وراء الروبوتات قاموا بترقية Smominru لإضافة وحدة لجمع البيانات و Remote Access Trojan (RAT) إلى شفرة تعدين cryptocurrency الخاصة بـ botnet الخاصة بهم.

 يقوم أحدث إصدار من Smominru بتنزيل وتشغيل ما لا يقل عن 20 نصوصًا ضارة مميزة وحمولات ثنائية بما في ذلك أداة تنزيل الدودة وحصان طروادة وجذر MBR.

 يقول الباحثون: “يقوم المهاجمون بإنشاء العديد من المقاعد الخلفية على الجهاز في مراحل مختلفة من الهجوم ويشمل ذلك المستخدمين المحدثين حديثًا والمهام المجدولة وكائنات WMI والخدمات المقرر تشغيلها في وقت التمهيد”.

 وفقًا للتقرير الجديد قال باحثو Guardicore Labs إنهم تمكنوا من الوصول إلى أحد الخوادم الأساسية للمهاجمين الذي يخزن معلومات الضحايا وبيانات اعتمادهم المسروقة وألقوا نظرة فاحصة على طبيعة الضحايا.

 “تصف سجلات المهاجمين كل مضيف مصاب ويشمل ذلك عناوين IP الخارجية والداخلية ونظام التشغيل الذي يديره وحتى الحمل على وحدة المعالجة المركزية (CPU) للنظام وعلاوة على ذلك يحاول المهاجمون جمع العمليات الجارية وسرقة بيانات الاعتماد باستخدام  يقول ميميكاتز “.

“أبلغت مختبرات Guardicore الضحايا الذين تم تحديدهم وقدمت لهم تفاصيل أجهزتهم المصابة.”

والروبوتات تصيب الأجهزة الضعيفة معظمها تعمل بنظامي التشغيل Windows 7 و Windows Server 2008 بمعدل 4،700 جهاز يوميًا مع اكتشاف عدة آلاف من الإصابات في بلدان مثل الصين وتايوان وروسيا والبرازيل والولايات المتحدة الأمريكية.

غالبية الأجهزة المصابة المكتشفة كانت في الأساس خوادم صغيرة تحتوي على 1-4 وحدة من وحدات المعالجة المركزية مما يجعل معظمها غير قابل للاستخدام بسبب الاستخدام المفرط لوحدات المعالجة المركزية الخاصة بهم مع عملية التعدين.

وكشف التحليل الذي أجراه الباحثون أن ربع ضحايا Smominru أعيد إصابتهم بالديدان مما يشير إلى أنهم “حاولوا تنظيف أنظمتهم دون إصلاح مشكلة السبب الجذري التي جعلتهم عرضة للخطر في المقام الأول”.

 بخلاف المتغيرات السابقة لـ Smominru فإن المتغير الجديد يزيل العدوى من الأنظمة التي تم اختراقها إن وجدت والتي تمت إضافتها بواسطة مجموعات إجرامية إلكترونية أخرى إلى جانب حظر منافذ TCP (SMB ، RPC) في محاولة لمنع المهاجمين الآخرين من اختراق مهاجمته  الآلات.

أصدر باحثو Guardicore قائمة كاملة من IoCs (مؤشرات التسوية) ونص Powershell مجاني على GitHub يمكنك تشغيله من واجهة سطر أوامر ويندوز للتحقق مما إذا كان نظامك مصابًا بديدان Smominru أم لا.

نظرًا لأن دودة Smominru تستفيد من استغلال EternalBlue وكلمات المرور الضعيفة يُنصح المستخدمين بتحديث أنظمتهم وبرامجهم والالتزام بكلمات مرور قوية ومعقدة وفريدة من نوعها لتجنب الوقوع ضحية لهذه التهديدات وبالنسبة للمؤسسة من الضروري اتخاذ تدابير أمنية إضافية مثل “تطبيق تجزئة الشبكة وتقليل عدد الخوادم التي تواجه الإنترنت.

عن فدوى

شاهد أيضاً

جوجل تزيل مئات التطبيقات من متجرها بسبب الإعلانات المضللة

‫أعلنت الشركة العملاقة جوجل اليوم أنها أزالت ما يقرب من 600 تطبيق من متجرها Google …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *