עברייני סייבר מנסים להפעיל כרייה של מטבע

יום ב', 1 בינואר 2018

 

חוקרי מעבדת קספרסקי זיהו הונאה במסגרתה תוכנת כרייה הופצה והותקנה בחשאי במחשבי משתמשים באמצעות גרסה פיראטית של תוכנה נפוצה המשמשת לעבודה ובידור, כגון עריכה תמונות וטקסט. המחשבים נוצלו לאחר מכן לייצור מטבע קריפטוגרפי, כשכל הרווחים עוברים ישירות לעבריינים.

בעוד שוק המטבעות הקריפטוגרפיים ממשיך לרתוח על רקע עליית שוויים של המטבעות וזינוק במספר המשקיעים בהם, גדל במקביל גם מספר העבריינים העוקבים מקרוב אחר ההתפתחויות. העובדה כי השוק סחף בהתרגשות אנשים רבים משחקת לידיהם ומאפשרת להם להונות משתמשים שאינם בעלי ידע טכנולוגי.

הדברים באו לידי ביטוי בדוח האבטחה השנתי של מעבדת קספרסקי המציין כי כורי מטבעות קריפטוגרפיים הפכו למגמה מרכזית ב-2017, מגמה שנחזתה כבר בשנה הקודמת על ידי חוקרי מעבדת קספרסקי שזיהו את חזרתה לזירה של תוכנת כריית המטבעות ל-Zcash, אשר זכתה לפופולאריות רבה. רק שנה עברה מאז, כורים פועלים בכל מקום, והעבריינים משתמשים בכלים שונים, כגון קמפיינים של הנדסה חברתית או ניצול תוכנה פרוצה, כדי להדביק מחשבי PC רבים ככל הניתן.

שיטת הדבקה כזו נחשפה לאחרונה על ידי חוקרי מעבדת קספרסקי. מדובר במספר אתרים דומים, המציעים למשתמשים דרך להורדה של תוכנות פיראטיות נפוצות בחינם. כדי להחדיר ביטחון בגולשים, העבריינים השתמשו בשמות דומיין הדומים למקור. לאחר הורדת התוכנה, המשתמש מקבל קובץ ארכיב המכיל את תוכנה הכרייה. התוכנה מותקנת באופן אוטומטי ביחד עם התוכנה הפיראטית הרצויה.

ארכיב ההתקנה כולל קבצי טקסט המכילים את נתוני ההפעלה – כתובות של ארנק ומאגר כרייה. מאגר כרייה הוא שרת המאחד מספר משתתפים ומפיץ את משימת הכרייה בין המחשבים שלהם. בתמורה, המשתתפים מקבלים את הנתח שלהם במטבע הקריפטוגרפי שנכרה במהירות גדולה יותר מאשר אם היו משתמשים במחשב שלהם בלבד. בגלל המאפיינים שלה, כריית ביטקוין ומטבעות אחרים מחייבת כרגע משאבי מחשוב כבדים וזמן רב, כך שמאגרי כרייה מגבירים את התפוקה ואת המהירות של ייצור מטבעות.

לאחר ההתקנה, הכורים מתחילים להפעיל בחשאי את מחשב הקורבן כדי לייצר מטבע קריפטוגרפי עבור העבריינים. על פי המחקר של מעבדת קספרסקי, בכל המקרים העבריינים עשו שימוש בתוכנה של פרויקט NiceHashאשר סבל לאחרונה מפריצת סייבר גדולה  שהביאה לגניבת מטבעות בשווי של מיליוני דולרים. חלק מהקורבנות היו מחוברים למאגרי כרייה באותו השם.

בנוסף, מומחים מצאו כי חלק מתוכנות הכרייה הכיל מאפיין מיוחד שמאפשר למשתמש לשנות מרחוק את מספר הארנק, המאגר או הכורה. המשמעות היא שהעבריינים יכולים ליצור בכל עת יעד נוסף עבור המטבעות שנוצרו, ובכך לנהל את הרווחים שלהם באמצעות פיזור הכנסות הכרייה בין ארנקים. הם אפילו יכולים לגרום למחשב הקורבן לעבוד עבור מאגר כרייה אחר.