עברייני סייבר מנצלים קורבנות לכריית מטבעות – באמצעות תוכנה פיראטית

עברייני סייבר הפיצו בחשאי תוכנה לכרייה של מטבעות קריפטוגרפיים במחשבי משתמשים תמימים. התוכנה הופצה באמצעות גרסה פיראטית של תוכנה נפוצה שמשמשת לעבודה ולבידור, כגון עריכת תמונות וטקסט. המחשבים התמימים נוצלו לאחר מכן לייצור מטבע קריפטוגרפי – כשכל הרווחים מהכרייה עוברים ישירות לעבריינים; כך חשפו חוקרי קספרסקי (Kaspersky).

על פי ענקית האבטחה, בעוד שוק המטבעות הקריפטוגרפיים ממשיך לרתוח, על רקע עליית שוויים של המטבעות וזינוק במספר המשקיעים בהם, גדל במקביל גם מספר העבריינים העוקבים מקרוב אחר ההתפתחויות ופועלים "בהתאם". העובדה שהשוק סחף בהתרגשות אנשים רבים משחקת לידיהם ומאפשרת להם להונות משתמשים שאינם בעלי ידע טכנולוגי.

החוקרים ציינו כי כורי מטבעות קריפטוגרפיים הפכו למגמה מרכזית ב-2017. כך, הם זיהו את חזרתה לזירה של תוכנת כריית המטבעות Zcash, שזכתה לפופולריות רבה. לדבריהם, "הכורים פועלים בכל מקום והעבריינים משתמשים בכלים שונים, כגון קמפיינים של הנדסה חברתית או ניצול תוכנה פרוצה, כדי להדביק מחשבים אישיים רבים ככל הניתן".

"צבא של זומבים"

שיטת ההדבקה שנחשפה באחרונה מראה כי מדובר בכמה אתרים דומים, המציעים למשתמשים דרך להורדה של תוכנות פיראטיות נפוצות – בחינם. כדי לטעת בגולשים ביטחון, העבריינים השתמשו בשמות דומיין הדומים למקור. לאחר הורדת התוכנה, המשתמש מקבל קובץ ארכיב שמכיל את תוכנה הכרייה והתוכנה מותקנת באופן אוטומטי, ביחד עם התוכנה הפיראטית.

ארכיב ההתקנה כולל קבצי טקסט המכילים את נתוני ההפעלה – כתובות של ארנק ומאגר כרייה. מאגר כרייה הוא שרת שמאחד מספר משתתפים ומפיץ את משימת הכרייה בין המחשבים שלהם. בתמורה, המשתתפים מקבלים את הנתח שלהם במטבע הקריפטוגרפי שנכרה במהירות גדולה יותר, מאשר אם הם היו משתמשים במחשב שלהם בלבד. בגלל המאפיינים שלה, כריית ביטקוין ומטבעות אחרים מחייבת משאבי מחשוב כבדים וזמן רב, כך שמאגרי כרייה מגבירים את התפוקה ואת המהירות של ייצור מטבעות.

לאחר ההתקנה, הכורים משתמשים במחשבי הקורבנות התמימים כצבא של זומבים: הם מתחילים להפעיל בחשאי את מחשב הקורבן כדי לייצר מטבע קריפטוגרפי עבור העבריינים. לפי קספרסקי, בכל המקרים העבריינים השתמשו בתוכנה של פרויקט NiceHash, שסבל באחרונה מפריצת סייבר גדולה, שהביאה לגניבת מטבעות בשווי של מיליוני דולרים. חלק מהקורבנות היו מחוברים למאגרי כרייה באותו השם.

בנוסף, מומחים מצאו כי חלק מתוכנות הכרייה הכיל מאפיין מיוחד, שמאפשר למשתמש לשנות מרחוק את מספר הארנק, המאגר או הכורה. המשמעות היא שעברייני הסייבר יכולים ליצור בכל עת יעד נוסף עבור המטבעות שנוצרו, ובכך לנהל את הרווחים שלהם באמצעות פיזור הכנסות הכרייה בין ארנקים. הם אפילו יכולים לגרום למחשב הקורבן לעבוד עבור מאגר כרייה אחר.

"על אף שהיא לא נחשבת לזדונית, תוכנת כרייה פוגעת בביצועי המכשיר הפגוע, מה שמשפיע ישירות על חוויית המשתמש. בנוסף, היא מגבירה את חיובי החשמל של הקורבן – שגם זו תוצאה לא נעימה", אמר אלכסנדר קולסניקוב, אנליסט קוד זדוני במעבדת קספרסקי. "כמו כן, קיימת העובדה שאדם זר הופך לעשיר על חשבון המשתמש. זו אומנם לא התנהלות של נוזקה רגילה – אך עדיין מדובר בהונאה".

על מנת למנוע מהמחשב שלכם להפוך לחלק מרשת כרייה, מעבדת קספרסקי מייעצת לבצע את הפעולות הבאות: הורדה של תוכנה חוקית ממקורות מוכרים בלבד והתקנה של פתרון אבטחה אמין, שיגן מפני איומים אפשריים, כולל תוכנות כרייה זדוניות.

וירוס מטבעות קריפטוגרפיים – גם ב-Messenger

יצוין כי ההאקרים מנצלים את פופולריות המטבעות הקריפטוגרפיים לצרכים הזדוניים שלהם גם באמצעות ה-Messenger של פייסבוק (Facebook). טרנד מיקרו (Trend Micro) חשפה השבוע וירוס שמתפשט בשירות המסרים המידיים הפופולרי, שאותו היא מכנה דיגמיין (Digmine). הוא מופעל באמצעות קובץ בשם video_xxxx.zip, שאותו מקבלים הקורבנות מאחד מאנשי הקשר שלהם. פתיחה של הקובץ תטען את דפדפן הכרום (Chrome) יחד עם תוסף דפדפן זדוני. את ההרחבות ניתן אמנם להוריד רק מחנות האינטרנט של כרום (Chrome Web Store), אך הפעולה עוברת דרך שורת הפקודה.

התוכנה הזדונית התגלתה בדרום קוריאה ומאז היא התפשטה, ככל הידוע עד כה, גם לווייטנאם, אזרבייג'ן, אוקראינה, וייטנאם, הפיליפינים, תאילנד ו-ונצואלה. בהתחשב בקצב התפשטותה, דיגמין יכולה להגיע בקרוב גם למדינות אחרות.