بازگشت باتنت خطرناک H2Miner؛ تهدیدی جدی برای کاربران ویندوز، لینوکس و سرورهای ابری
به گزارش مالی3، باتنت مخرب H2Miner بار دیگر فعال شده و اینبار نسخهای جدید از آن رایانههای مجهز به ویندوز، سرورهای لینوکس و زیرساختهای ابری را هدف قرار داده است. این بدافزار بهصورت پنهانی از توان پردازشی سیستمهای آلوده برای استخراج ارز دیجیتال مونرو (XMR) استفاده میکند و در مواردی حتی باجافزار نیز نصب میکند.
استفاده از آسیبپذیریهای رایج
مهاجمان با سوءاستفاده از آسیبپذیریهای شناختهشدهای مانند Log4Shell و Apache ActiveMQ، دسترسی اولیه را به سیستمها به دست میآورند. سپس با نصب ابزار استخراج XMRIG که ذاتاً قانونی است، فرآیند ماینینگ را در پسزمینه آغاز میکنند – بدون اطلاع یا رضایت کاربر.
توقف آنتیویروس و حذف ردپا
نسخه جدید H2Miner با استفاده از اسکریپتهایی هوشمند، نرمافزارهای امنیتی را غیرفعال کرده و سایر ماینرهای فعال در سیستم را متوقف میسازد. این بدافزار در لینوکس از طریق زمانبندی کرون (Cron) و در ویندوز با ایجاد کار زمانبندیشده (Scheduled Task) هر ۱۰ تا ۱۵ دقیقه، حضور خود را حفظ میکند و ردپای فعالیتش را پاک مینماید.
ورود باجافزار LCRYPT0RX
در ادامه حمله، در برخی سیستمها باجافزاری به نام LCRYPT0RX نیز فعال میشود که با بازنویسی Master Boot Record، مانع از راهاندازی سیستم میشود. این باجافزار همچنین تنظیمات پایداری جدیدی ایجاد کرده و به سختی قابل حذف است.
گسترش سریع از طریق زیرساختهای ابری و USB
این بدافزار با استفاده از سرورهای ابری ناپایدار و درایوهای USB در میان سیستمها پخش میشود و حتی فرآیندهای آنتیویروس را یکییکی حذف میکند تا راه نفوذ خود را باز نگه دارد.
هشدار به کاربران کریپتو و سرورهای خودمیزبان
اگرچه این حملات مستقیماً کیف پولهای رمزارز را هدف قرار نمیدهند، اما از منابع سیستم کاربران برای استخراج مخفیانه مونرو بهره میبرند. این موضوع بهویژه برای ماینرهای شخصی، گرههای خودمیزبان و ارائهدهندگان خدمات VPS که نظارت کافی ندارند، نگرانکننده است.
کاربرانی که با داغ شدن بیش از حد یا کندی مشکوک سیستم مواجه میشوند، باید به دنبال فرآیندهایی مانند sysupdate.exe
باشند و بررسیهای امنیتی انجام دهند.
حذف کامل تنها راه مقابله
کارشناسان توصیه میکنند برای حذف کامل H2Miner، تمام اسکریپتها، ورودیهای رجیستری، Cron jobها و Taskهای زمانبندیشده باید بهصورت دستی حذف شوند. در غیر این صورت، حتی یک فایل مخفی کافیست تا بدافزار دوباره فعال شود.
نظرات کاربران