اگر سیستم قوی دارد که به کار استخراج رمزارز میآید، بهتر است بیشتر مراقب باشید. اخیراً مایکروسافت پرده از یک کمپین بدافزاری جدید برداشته است که دارندگان کامپیوترهای قوی، سیستمهای گیمینگ و رندرینگ جزو اهداف آن هستند. این بدافزار شگردهای جالبی هم برای پنهان کردن خود دارد.
مهاجمان با جعل صفحات دانلود نرمافزارهای محبوب و سوءاستفاده از نتایج جستجو، قربانیان را به نصب بدافزار استخراج رمزارز روی سیستم خود ترغیب میکنند. نکته نگرانکننده اینجاست که مایکروسافت میگوید در برخی موارد، لینکهای آلوده حتی از طریق پیشنهادهای ارائهشده توسط چتباتهای مبتنی بر هوش مصنوعی نیز در اختیار کاربران قرار گرفتهاند.
نرمافزارهای محبوب به طعمه هکرها تبدیل شدند
طبق گزارش مایکروسافت، مهاجمان تلاش میکنند کاربرانی که به دنبال دانلود نرمافزارهای شناختهشدهای مانند CrystalDiskInfo ،HWMonitor ،Display Driver Uninstaller ،FurMark و K-Lite Codec Pack را به صفحات جعلی هدایت کنند.
کاربران پس از جستجوی این ابزارها در موتورهای جستجو یا دریافت لینک از منابع نامعتبر، به وبسایتهای جعلی هدایت میشوند و فایلهایی را دانلود میکنند که در ظاهر نسخه اصلی نرمافزار هستند اما در پسزمینه بدافزار استخراج رمزارز را نصب میکنند.
برخلاف بسیاری از کمپینهای بدافزاری که به دنبال آلوده کردن حداکثری کامپیوترها هستند، این کمپین ظاهراً روی سیستمهای مجهز به GPUهای قدرتمند تمرکز دارد.
مایکروسافت میگوید مهاجمان بهدنبال گیمرها، اورکلاکرها، کاربران هوش مصنوعی و خورههای سختافزار هستند که معمولاً کارتهای گرافیک گرانقیمت و مناسب برای استخراج ارزهای دیجیتال در اختیار دارند.
پس از آلوده شدن سیستم، بدافزار میتواند ماینرهایی مانند lolMiner، gminer و SRBMiner-MULTI را دانلود و اجرا کند تا به طور مخفیانه به ماین کردن و کسب درآمد برای سازندگان بدافزار بپردازد.
یکی از ویژگیهای جالب این بدافزار، تلاش برای مخفی ماندن از چشم کاربر است. مایکروسافت میگوید این بدافزار بهطور مداوم میزان استفاده از GPU را بررسی میکند و اگر کاربر در حال اجرای بازی، استریم یا اجرای پردازشهای سنگین باشد، ماینینگ را متوقف میکند تا افت نرخ فریم دهی، افزایش دما یا صدای غیرعادی فنها باعث شک کاربر نشود.
همچنین بدافزار قادر است ابزارهای امنیتی و تحلیلی معروفی مانند Wireshark، Process Monitor، x64dbg، dnSpy، IDA Pro و Ghidra را شناسایی کرده و در صورت مشاهده آنها فعالیت خود را متوقف کند.
پای هوش مصنوعی هم به ماجرا باز شد
شاید مهمترین بخش گزارش مایکروسافت، اشاره به سوءاستفاده از چتباتهای هوش مصنوعی باشد. این شرکت میگوید برخی کاربران هنگام درخواست لینک دانلود نرمافزارها از دستیارهای مبتنی بر مدلهای زبانی بزرگ (LLM)، به دامنههای تحت کنترل مهاجمان هدایت شدهاند.
مایکروسافت تأکید کرده این موضوع لزوماً به معنای وجود مشکل امنیتی در یک سرویس خاص نیست، اما نشان میدهد مهاجمان حالا علاوه بر موتورهای جستجو، به سراغ آلوده کردن نتایج و توصیههای سیستمهای مبتنی بر هوش مصنوعی نیز رفتهاند.
مهمترین توصیه مایکروسافت دانلود نرمافزارها فقط از وبسایت رسمی سازنده است. حتی اگر لینکی در نتایج جستجو یا پاسخ یک چتبات نمایش داده شود، بهتر است آدرس سایت را دبل چک کنید و از دانلود فایلها از وبسایتهای متفرقه خودداری کنید.
