برنامج خبيث لتعدين عملة “Monero” يستهدف عمليات الـ “DoubleClick” التابعة لجوجل

 عرب بت – اكتشف برنامج “Trend Micro“، المزود لبرامج الأمن والأجهزة والخدمات، حملة “Malvertising ” وهي حملة لاستخدام الإعلانات عبر الإنترنت لنشر البرامج الضارة على مواقع إلكترونية عالية الزوار التي تستخدمها “Coinhive“، وهي أوامر برمجية للغة البرمجة “JavaScript” التي تسمح لمشرفي المواقع بتعدين عملة Monero باستخدام وحدات المعالجة المركزية للزائرين.

حيث ذكر “Trend Micro” في مدونة معلومات الأمان، أن المهاجمون استهدفوا عمليات الـ “DoubleClick” التابعة لجوجل، والتي توفر خدمات عرض إعلانات الإنترنت للتوزيع. وبالإضافة إلى ذلك، فقد استخدم “Maladvertisements” أيضاً معدّن إنترنت مستقل يتصل بتجمّع تعدين خاص. كما أبلغ برنامج “Trend Micro” نتائجه إلى جوجل عن الحملة التي أثرت على اليابان وفرنسا وتايوان وإيطاليا وإسبانيا. حيث لاحظ “Trend Micro” زيادة في الحركة لخمسة مجالات ضارة في 18 كانون الثاني / يناير، وفي 24 كانون الثاني / يناير حصلت قفزة بما يقارب 285٪ في عدد معدني “Coinhive” حيث جاءت الزيارات من إعلانات الـ “DoubleClick“.


تضمين البرامج النصية لمعدني الإنترنت

تم تضمين اثنين من البرامج النصية المختلفة لمعدني الإنترنت، جنباً إلى جنب مع برنامج النص الذي عرض الإعلانات من “DoubleClick“. حيث عرضت صفحة الإنترنت المهاجمة الإعلان في حين قام المعدنون على شبكة الإنترنت بمهامهم السرية. ويُعتقد أن استخدام الإعلانات على المواقع المشروعة هو حيلة لمهاجمة عدد أكبر من المستخدمين. ولكن، انخفضت الحركة على المواقع المرتبطة بهؤلاء المعدنين بعد 24 كانون الثاني/ يناير.

وقد كان الإعلان يحتوي على أوامر برمجية بلغة “JavaScript” التي تُنشئ رقماً عشوائياً بين متغير واحد و 100. وعندما يُخلق متغير فوق 10، فإنه يتم تنبيه “coinhive.min” لتعدين 80٪ من قوة وحدة المعالجة المركزية. ويحدث هذا في 90٪ من الوقت، أما بالنسبة للـ 10٪ الأخرى، يتم إطلاق معدّن خاص على شبكة الإنترنت. ويتم تكوين المعدنان من خلال throttle 0.2 مشيراً إلى أنهم يستخدمون 80٪ من موارد وحدة المعالجة المركزية للتعدين.

وبعد إزالة تشويش معدن الإنترنت الخاص المعروف باسم “mqoj_1“، لا يزال من الممكن تحديد الأوامر البرمجية بلغة “JavaScript” المعتمدة على “Coinhive” ومن ثم يقوم المعدن المعدل باستخدام تجمع تعدين مختلف والذي يستخدم لتجنب رسوم عمولة بنسبة 30% من “Coinhive“.

إمكانية منع الهجمات

يمكن منع معدني “Coinhive” من استخدام موارد وحدة المعالجة المركزية عن طريق منع التطبيقات القائمة على لغة “JavaScript” من تشغيلها على متصفحات الإنترنت، وفقاً للمدونة. كما يمكن التخفيف من تأثير برامج العملات الرقمية الخبيثة وغيرها من التهديدات التي تستغل نقاط ضعف النظام، من خلال تحديث البرامج وتصحيحها.

وتحمي أجنحة الحماية الدقيقة لـ “Trend Micro” وأعمال الأمن الخالية من القلق الأعمال والمستخدمين من التهديدات، من خلال حظر روابط “URL” معينة وملفات أخرى. فتوفر أجنحة الحماية الدقيقة لـ”Trend Micro” قدرات مثل مراقبة السلوك وخدمات السمعة على شبكة الإنترنت، وآلة التعلم عالية الدقة ومراقبة التطبيق للحد من تأثير معدني العملات الرقمية والتهديدات الأخرى.

ـــــــــــــــ
المصدر: CCN

Comments are closed.